Des chercheurs déjouent la technique DDoS qui menaçait la cyberattaque à grande échelle

En octobre 2016, une cyberattaque a temporairement supprimé Amazon, Reddit, Spotify et Slack pour les utilisateurs le long de la côte est des États-Unis. Mirai, un botnet de caméras de sécurité et de routeurs Internet piratés, a dirigé un flot de trafic indésirable sur les serveurs de Dyn, une entreprise qui fournit le répertoire mondial (ou répertoire) du Web connu sous le nom de système de noms de domaine ou DNS.

Maintenant, des chercheurs de l'Université de Tel Aviv et du Centre interdisciplinaire (IDC) de Herzliya disent qu'une faiblesse du DNS aurait pu provoquer une attaque d'une ampleur beaucoup plus grande.

Dans leur nouvelle étude, qui sera présentée à la conférence de sécurité USENIX en août 2020, le groupe de recherche, co-dirigé par le professeur Yehuda Afek de la Blavatnik School of Computer Science de TAU, et le professeur Anat Bremler-Barr, vice-doyen d'IDC's L'Efi Arazi School of Computer Science, en collaboration avec le doctorant de TAU Lior Shafir, fournit de nouveaux détails sur une technique qui aurait pu permettre à un nombre relativement petit d'ordinateurs de mener des attaques DDoS (déni de service distribué) à grande échelle, écrasant des cibles avec fausses demandes d'informations jusqu'à ce qu'elles soient mises hors ligne.

Dès février, les chercheurs ont alerté un large éventail de sociétés responsables de l'infrastructure Internet de leurs conclusions. Les chercheurs disent que ces entreprises, y compris Google, Microsoft, Cloudflare, Amazon, Dyn (qui appartient maintenant à Oracle), Verisign et Quad9, ont toutes mis à jour leur logiciel pour résoudre le problème, tout comme plusieurs fabricants du logiciel DNS que ces entreprises utilisent.

Grâce à des projets de recherche conjoints, le professeur Afek et le professeur Bremler-Barr ont déjà stoppé des centaines de milliers de cyberattaques DDoS au cours des deux dernières décennies, en commençant par la conception du premier serveur de nettoyage des attaques DDoS chez Riverhead Networks, une société qu'ils ont cofondée. avec le Dr Dan Touitou en 2001.

"Le DNS est l'annuaire Internet essentiel", explique le professeur Bremler-Barr. "En fait, sans le DNS, Internet ne peut pas fonctionner. Dans le cadre d'une étude de divers aspects du DNS, nous avons découvert à notre grande surprise une violation très grave qui pourrait attaquer le DNS et désactiver de grandes parties du réseau."

La nouvelle technique DDoS, que les chercheurs ont surnommée NXNSAttack (attaque de serveur de noms non existante) tire parti des vulnérabilités des logiciels DNS courants. DNS convertit les noms de domaine sur lesquels vous cliquez ou tapez dans la barre d'adresse de votre navigateur en adresses IP. Mais le NXNSAttack peut amener un serveur DNS involontaire à exécuter des centaines de milliers de demandes en réponse à une seule demande de pirate.

"L'attaque de 2016 a utilisé plus d'un million d'appareils IoT, alors qu'ici, nous voyons le même impact avec seulement quelques centaines", explique le professeur Afek. "Nous parlons d'une amplification majeure, d'une cyberattaque majeure qui pourrait désactiver des parties critiques d'Internet."

La façon dont cela fonctionne est que lorsqu'un ordinateur client essaie d'atteindre une certaine ressource sur Internet, il émet une demande avec le nom de la ressource vers un serveur DNS de type résolveur, qui est chargé de traduire le nom demandé en une adresse IP . Afin de trouver l'adresse IP requise, le résolveur procède à un échange de messages avec plusieurs serveurs DNS d'un autre type, appelé «faisant autorité». Les serveurs faisant autorité redirigent le résolveur de l'un à l'autre, lui disant essentiellement «d'aller demander à celui-ci» jusqu'à ce que le résolveur atteigne un serveur faisant autorité qui connaît la réponse finale – l'adresse IP demandée.

«Pour monter le NXNSattack», poursuit le professeur Afek, «un attaquant acquiert pour un prix négligeable ou pénètre simplement dans un serveur faisant autorité, qui redirigerait le résolveur pour envoyer un nombre énorme de demandes aux serveurs faisant autorité. Cela se produit pendant que le résolveur tente de répondre à la demande particulière que l'attaquant a créée.

"L'attaquant envoie une telle demande plusieurs fois sur une longue période, ce qui génère un tsunami de demandes entre les serveurs DNS, qui sont par la suite débordés et incapables de répondre aux demandes légitimes des utilisateurs légitimes réels."

M. Shafir explique en outre: "Un pirate informatique qui aurait découvert cette vulnérabilité l'aurait utilisée pour générer une attaque ciblant soit un résolveur, soit un serveur DNS faisant autorité à des emplacements particuliers du système DNS. Dans les deux cas, le serveur d'attaque serait immobilisé et son services bloqués, incapables de fonctionner en raison du nombre écrasant de demandes reçues. Cela empêcherait les utilisateurs légitimes d'accéder aux ressources Internet qu'ils recherchaient. "

La recherche pour l'étude faisait partie du doctorat de M. Shafir. travail; il a construit une installation avec un serveur faisant autorité, sur laquelle il a simulé une attaque sur les serveurs, générant un tsunami de requêtes entre les serveurs, les rendant ainsi incapables.

"Notre découverte a évité des dommages potentiels majeurs aux services Web utilisés par des millions d'utilisateurs dans le monde", conclut le professeur Yehuda Afek. "La cyberattaque de 2016, qui est considérée comme la plus grande de l'histoire, a détruit une grande partie d'Internet aux États-Unis. Mais une attaque comme celle que nous avons empêchée aurait pu être plus de 800 fois plus puissante."