Lors de la conférence DNS OARC 2013 Fall Workshops, ayant eu lieu les 5 et 6 octobre à Phoenix, Arizona (États-Unis), l’ANSSI a présenté un détournement possible de certaines technologies anti-déni de service distribué (DDoS), qui facilitent des attaques par pollution de cache DNS.
Scooped by
Stéphane NEREAU
onto Cybersécurité - Innovations digitales et numériques |
La solution à court terme est de s’assurer que toutes les requêtes envoyées par des résolveurs obtiennent une réponse. L’estimation de la légitimité d’une requête étant complexe, la solution la plus simple est de toujours répondre aux requêtes DNS. La réponse n’a pas nécessairement besoin d’être le contenu demandé, et peut être une réponse tronquée ou un paquet avec le code d’erreur "REFUSED". Une solution à long terme contre les attaques par pollution de cache est le déploiement de DNSSEC.