Qu'est-ce que le DNS amplification ?

Le DNS Amplification (également connu sous le nom d'attaque par réflexion DNS) est un type d'attaque par déni de service distribué (DDoS) particulièrement puissant, qui exploite la manière dont les serveurs DNS répondent aux requêtes.

Comment fonctionne l'attaque

L'attaquant envoie une petite requête DNS à un serveur DNS vulnérable (appelé open resolver), en usurpant l'adresse IP source pour la faire correspondre à celle de la victime.
Le serveur DNS répond alors avec un paquet bien plus volumineux — souvent 50 à 100 fois plus grand que la requête initiale.

En conséquence, le serveur ou le réseau de la victime est submergé par ce trafic amplifié, saturant rapidement la bande passante et rendant le service inaccessible.

L'attaque est particulièrement efficace contre les serveurs DNS mal configurés qui autorisent les requêtes récursives depuis n'importe quelle source sur internet.

Comment se protéger contre le DNS Amplification

1. Utiliser nos serveurs DNS (recommandé)
   Nous recommandons vivement de déléguer vos domaines aux serveurs NS de Fornex.
   Ils sont répartis sur plusieurs zones géographiques, protégés contre les attaques par amplification et conçus pour absorber de fortes charges.

2. Si vous gérez votre propre serveur DNS :

   • Maintenez votre logiciel DNS à jour.
   • Désactivez la récursion pour les clients externes (autorisez-la uniquement pour les réseaux de confiance).
   • Activez le Response Rate Limiting (RRL).
   • Limitez les réponses sortantes aux seuls types d'enregistrements nécessaires.

Pourquoi c'est important

Le DNS Amplification reste l'un des vecteurs d'attaque DDoS les plus simples et les plus efficaces. Un seul serveur DNS mal configuré peut devenir une arme redoutable contre d'autres cibles.

En utilisant nos serveurs de noms, votre infrastructure est déjà protégée contre ce type d'attaque au niveau du fournisseur.