Press release

Neustar signale des risques DDoS majeurs en cas d’attaque DNSSEC par réflexion

0 0
Sponsorisé par Business Wire

Le fournisseur de solutions de protection DNS et DDoS découvre d’importantes vulnérabilités en cas d’attaques DNSSEC par amplification ; L’amplification DNSSEC moyenne est environ 30 fois supérieure aux requêtes STERLING, Va.–(BUSINESS WIRE)–Neustar, Inc. (NYSE: NSR), fournisseur reconnu et indépendant de services d’informations en temps réel, a publié ce jour un rapport de recherche intitulé «

Le fournisseur de solutions de protection DNS et DDoS découvre
d’importantes vulnérabilités en cas d’attaques DNSSEC par amplification ;

L’amplification DNSSEC moyenne est environ 30 fois supérieure aux
requêtes

STERLING, Va.–(BUSINESS WIRE)–Neustar,
Inc. (NYSE: NSR), fournisseur reconnu et indépendant de services
d’informations en temps réel, a publié ce jour un rapport de recherche
intitulé « DNSSEC: How Savvy DDoS Attackers Are Using Our Defenses
Against Us » décrivant en détail comment les DNSSEC (Domain Name System
Security Extensions) peuvent être corrompus et utilisés comme
amplificateur lors d’attaques DDoS (Distributed-Denial-of-Service).
Neustar a déterminé qu’en moyenne une attaque DNSSEC par réflexion peut
transformer une requête de 80 octets en une réponse de 2 313 octets,
soit un facteur d’amplification proche de 30, ce qui peut facilement
provoquer une panne de réseau durant une attaque DDoS, entraînant une
perte de revenus et la violation des données.

« Le DNSSEC a été conçu comme un outil pour combattre la manipulation de
l’espace des noms de domaine (DNS). Malheureusement, les hackers ont
compris que la complexité de ces signatures en fait une cible idéale
pour engorger les réseaux lors d’une attaque DDoS », déclare Joe
Loveless, Director Product Marketing, Security Services, Neustar. « Si
le DNSSEC n’est pas correctement sécurisé, il peut être exploité, armé
et au final utilisé pour créer des attaques DDoS massives. »

Le DNSSEC a été conçu pour garantir l’intégrité et l’authentification du
DNS, ce qu’il fait grâce à des signatures numériques complexes et des
échanges de clés. Dès lors, lorsqu’un enregistrement DNS est transféré
au DNSSEC, une quantité considérable d’informations supplémentaires est
créée. De plus, lorsqu’une commande DNS est émise, « ANY », la réponse
amplifiée du DNSSEC est exponentiellement plus grande que la réponse DNS
standard.

Les résultats et recommandations clés du rapport « DNSSEC: How Savvy
DDoS Attackers Are Using Our Defenses Against Us » sont, entre autres :

  • Une pléthore de vulnérabilités DNSSEC – Neustar a étudié un
    secteur d’industrie comportant 1 349 domaines et a déterminé que 1 084
    d’entre eux (80%) pourraient être secrètement détournés pour servir
    d’amplificateur d’attaque DDoS (ils étaient signés DNSSEC et ont
    répondu à la commande « ANY »).
  • Un facteur d’amplification DNSSEC moyen de 28,9 – Neustar a
    testé les vulnérabilités DNSSEC avec une requête de 80 octets, qui a
    reçu une réponse moyenne de 2 313 octets. La plus grande réponse
    amplifiée pesait 17 377 octets, soit 217 fois plus que la requête.
  • L’anatomie d’une attaque DNSSEC par réflexion – Neustar
    illustre les serveurs de commande et de contrôle requis pour exécuter
    les botnets (réseau de zombies) et les scripts ciblant les serveurs
    DNS pour lancer les attaques DNSSEC par amplification.
  • Meilleures pratiques pour la réduction des attaques – Pour les
    entités qui reposent sur le DNSSEC, Neustar recommande de vérifier que
    le fournisseur DNS ne réponde pas aux requêtes « ANY » ou dispose d’un
    mécanisme pour identifier et empêcher les manipulations trompeuses.

« Neustar fait appel aux sciences connexes pour connecter les personnes,
les lieux et les objets. C’est pour cela que la sécurité du réseau est
un facteur crucial », souligne M. Loveless. « De plus en plus
d’entreprises ont recours au DNSSEC, il est donc primordial de
comprendre comment le sécuriser. L’heure est venue d’éliminer ces
vulnérabilités. »

Pour plus d’informations sur le rapport « DNSSEC: How Savvy DDoS
Attackers Are Using Our Defenses Against Us », veuillez visiter la page https://hello.neustar.biz/201608—Security-Services—Trade-Show—Black-Hat_DNSSEC-LP.html.

À propos de Neustar

Environ 2,5 quadrillions de bits de données sont générés chaque jour
dans le monde. Neustar (NYSE: NSR) isole certains éléments et les
analyse, simplifie et édite pour permettre une prise de décisions
précise et précieuse. Nous sommes une des rares sociétés capables de
savoir avec certitude derrière chaque interaction. C’est pour cette
raison que les plus grandes marques au monde nous accordent leur
confiance pour prendre des décisions capitales (environ 20 milliards de
fois par jour). Nous aidons les distributeurs à envoyer des messages
rapides et utiles, aux bons destinataires. Étant donné que nous pouvons
affirmer sans l’ombre d’un doute à nos clients qui les appelle ou se
connecte à leur réseau, ils sont donc en mesure de répondre en temps
réel. Et les informations exhaustives leur permettant de passer et gérer
des commandes servent aussi à arrêter les attaques. Nous savons quand
une personne tente dissimuler son identité, ce qui contribue à stopper
les fraudes et le déni de service avant que cela ne pose problème. En
tant que gestionnaire expérimenté de certaines des bases de données les
plus complexes au monde, nous aidons nos clients à contrôler leur
identité en ligne, enregistrer et protéger leur nom de domaine, et
diriger le trafic à la bonne adresse réseau. En reliant les informations
sensibles aux personnes qui en dépendent, nous offrons à plus de 12 000
clients dans le monde un pouvoir décisionnel, pas juste des données.
Pour plus d’informations, veuillez visiter http://www.neustar.biz

Le texte du communiqué issu d’une traduction ne doit d’aucune manière
être considéré comme officiel. La seule version du communiqué qui fasse
foi est celle du communiqué dans sa langue d’origine. La traduction
devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

Neustar
Laura Cahill
laura.cahill@axicom.com
(+44)
2083924071