Vendredi dernier, à la réunion FRnog 20, une présentation sur un produit de sécurité comportait une partie sur les attaques par déni de service avec le DNS. Je voulais préciser quelques points à propos de ce risque.
L'affirmation faite pendant la réunion comme quoi des requêtes DNS bien formées, mais utilisant des valeurs inhabituelles (par exemple une autre classe que IN) pourrait planter des serveurs me parait surprenante. Je ne me souviens pas d'une telle attaque dans les dix dernières années. (Et je ne vois donc pas l'intérêt d'un produit dont le seul rôle serait de bloquer ces paquets.) Quant aux paquets délibérément mal formés, il faut préciser que tous les logiciels serveurs DNS subissent des tests approfondis, notamment avec du fuzzing (un article *très* sommaire sur les tests DNS est <http://www.bortzmeyer.org/paquets-invalides-scapy.html> : les logiciels utilisés en production passent des tests bien plus riches). Cela a notamment été utilisé par l'équipe de Knot qui a fait des essais approfondis de la résistance des serveurs DNS à de tels paquets anormaux (avec leur logiciel et avec ceux des copains). Il faut préciser à ce sujet qu'il y a une énorme différence entre HTTP et DNS. Les attaques HTTP visent en général une application ou bien un serveur HTTP custom (essayez de vous souvenir de la dernière attaque réussie contre Apache). Ces applications et ces serveurs HTTP custom sont souvet programmés... de manière non sécurisée. Mettre un pare-feu devant peut donc avoir un sens. Au contraire, pour le DNS, il y a trois ou quatre logiciels serveurs, tous faits par des professionnes et ayant passé les tests dont je parlais. Je ne veux pas dire qu'ils sont invulnérables (CVE-2012-5689...), simplement qu'ils ont été bien plus testés que la plupart des produits pare-feux (lors des tests de configuration DNS, les bogues viennent bien plus souvent du pare-feu ou du load balancer que du serveur lui-même). Je suis donc sceptique quant à l'intérêt d'un tel dispositif (quel pare-feu aurait bloqué CVE-2012-5689 ?) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
