L’une des fonctions d’un serveur DNS consiste à traduire un nom de domaine en une adresse IP dont les applications ont besoin pour se connecter à une ressource Internet telle qu’un site Web. Cette fonctionnalité est définie dans diverses normes Internet formelles qui définissent le protocole de manière très détaillée. Les serveurs DNS sont implicitement approuvés par les ordinateurs et les utilisateurs connectés à Internet pour résoudre correctement les noms en adresses réelles enregistrées par les propriétaires d’un domaine Internet.

Serveur DNS malveillant

Un serveur DNS malveillant traduit les noms de domaine des sites Web souhaitables (moteurs de recherche, banques, courtiers, etc.) dans les adresses IP de sites avec un contenu non intentionnel, même des sites Web malveillants. La plupart des utilisateurs dépendent de serveurs DNS automatiquement attribués par leurs FAI. Les ordinateurs zombies utilisent des chevaux de Troie à changement de DNS pour basculer de manière invisible l’affectation automatique du serveur DNS par le fournisseur d’accès Internet vers une affectation manuelle du serveur DNS à partir de serveurs DNS indésirables. Les serveurs DNS attribués à un routeur peuvent également être modifiés par l’exploitation à distance d’une vulnérabilité dans le micrologiciel du routeur. Lorsque les utilisateurs essaient de visiter des sites Web, ils sont plutôt envoyés sur un faux site Web. Cette attaque est appelée pharming. Si le site vers lequel ils sont redirigés est un site Web malveillant, se faisant passer pour un site Web légitime, afin d’obtenir frauduleusement des informations sensibles, on parle de phishing.

Manipulation par ISPsEdit

Un certain nombre de FAI grand public tels que AT &T, Cablevision’s Optimum Online, CenturyLink, Cox Communications, RCN, Rogers, Charter Communications (Spectrum), Plusnet, Verizon, Sprint, T-Mobile US, Virgin Media, Frontier Communications, Bell Sympatico, Deutsche Telekom AG, Optus, Mediacom, ONO, TalkTalk, Bigpond (Telstra), TTNET, Türksat et Telkom Indonesia utilisent ou utilisent le détournement de DNS à leurs propres fins, telles que l’affichage de publicités ou la collecte de statistiques. Les FAI néerlandais XS4ALL et Ziggo utilisent le détournement de DNS par ordonnance du tribunal: ils ont reçu l’ordre de bloquer l’accès à The Pirate Bay et d’afficher une page d’avertissement à la place. Ces pratiques violent la norme RFC pour les réponses DNS (NXDOMAIN) et peuvent potentiellement ouvrir les utilisateurs à des attaques de script intersite.

Le problème du détournement de DNS implique ce détournement de la réponse NXDOMAIN. Les applications Internet et intranet s’appuient sur la réponse NXDOMAIN pour décrire la condition dans laquelle le DNS n’a pas d’entrée pour l’hôte spécifié. Si l’on devait interroger le nom de domaine invalide (par exemple www.exemple.invalide), on devrait obtenir une réponse NXDOMAIN – informant l’application que le nom n’est pas valide et prenant les mesures appropriées (par exemple, afficher une erreur ou ne pas tenter de se connecter au serveur). Cependant, si le nom de domaine est interrogé sur l’un de ces FAI non conformes, on recevra toujours une fausse adresse IP appartenant au FAI. Dans un navigateur Web, ce comportement peut être gênant ou offensant car les connexions à cette adresse IP affichent la page de redirection du fournisseur d’accès Internet, parfois avec de la publicité, au lieu d’un message d’erreur approprié. Cependant, d’autres applications qui s’appuient sur l’erreur NXDOMAIN tenteront plutôt d’initier des connexions à cette adresse IP usurpée, exposant potentiellement des informations sensibles.

Exemples de fonctionnalités qui se brisent lorsqu’un FAI détourne un DNS:

  • Les ordinateurs portables itinérants membres d’un domaine Windows Server seront faussement amenés à croire qu’ils sont de retour sur un réseau d’entreprise car des ressources telles que des contrôleurs de domaine, des serveurs de messagerie et d’autres infrastructures sembleront disponibles. Les applications tenteront donc d’initier des connexions à ces serveurs d’entreprise, mais échoueront, entraînant des performances dégradées, un trafic inutile sur la connexion Internet et des délais d’attente.
  • De nombreux petits réseaux de bureau et domestiques n’ont pas leur propre serveur DNS, s’appuyant plutôt sur la résolution des noms de diffusion. De nombreuses versions de Microsoft Windows donnent par défaut la priorité à la résolution de noms DNS au-dessus des diffusions de résolution de noms NetBIOS; par conséquent, lorsqu’un serveur DNS ISP renvoie une adresse IP (techniquement valide) pour le nom de l’ordinateur souhaité sur le réseau local, l’ordinateur connecté utilise cette adresse IP incorrecte et ne parvient inévitablement pas à se connecter à l’ordinateur souhaité sur le réseau local. Les solutions de contournement incluent l’utilisation de l’adresse IP correcte au lieu du nom de l’ordinateur ou la modification de la valeur de registre DhcpNodeType pour modifier la commande du service de résolution de nom.
  • Les navigateurs tels que Firefox n’ont plus leur fonctionnalité « Parcourir par nom » (où les mots-clés saisis dans la barre d’adresse amènent les utilisateurs au site correspondant le plus proche).
  • Le client DNS local intégré aux systèmes d’exploitation modernes mettra en cache les résultats des recherches DNS pour des raisons de performances. Si un client bascule entre un réseau domestique et un VPN, de fausses entrées peuvent rester mises en cache, créant ainsi une panne de service sur la connexion VPN.
  • Les solutions anti-spam DNSBL reposent sur le DNS ; les faux résultats DNS interfèrent donc avec leur fonctionnement.
  • Les données confidentielles des utilisateurs peuvent être divulguées par des applications qui sont trompées par le FAI en lui faisant croire que les serveurs auxquels elles souhaitent se connecter sont disponibles.
  • Le choix de l’utilisateur sur le moteur de recherche à consulter en cas de saisie erronée d’une URL dans un navigateur est supprimé lorsque le FAI détermine les résultats de recherche affichés à l’utilisateur.
  • Les ordinateurs configurés pour utiliser un tunnel divisé avec une connexion VPN cesseront de fonctionner car les noms d’intranet qui ne devraient pas être résolus en dehors du tunnel sur l’Internet public commenceront à se résoudre en adresses fictives, au lieu de se résoudre correctement sur le tunnel VPN sur un serveur DNS privé lorsqu’une réponse NXDOMAIN est reçue d’Internet. Par exemple, un client de messagerie qui tente de résoudre l’enregistrement DNS A pour un serveur de messagerie interne peut recevoir une fausse réponse DNS qui l’a dirigée vers un serveur Web à résultats payants, avec des messages mis en file d’attente pour la livraison pendant des jours alors que la retransmission a été tentée en vain.
  • Il casse le protocole WPAD (Web Proxy Autodiscovery Protocol) en conduisant les navigateurs Web à croire à tort que le FAI a un serveur proxy configuré.
  • Il casse le logiciel de surveillance. Par exemple, si l’on contacte périodiquement un serveur pour déterminer sa santé, un moniteur ne verra jamais de panne à moins qu’il n’essaie de vérifier la clé cryptographique du serveur.

Dans certains cas, mais pas dans la plupart des cas, les FAI fournissent des paramètres configurables par l’abonné pour désactiver le détournement des réponses NXDOMAIN. Correctement implémenté, un tel paramètre rétablit le comportement standard du DNS. D’autres FAI, cependant, utilisent plutôt un cookie de navigateur Web pour stocker la préférence. Dans ce cas, le comportement sous-jacent n’est pas résolu: Les requêtes DNS continuent d’être redirigées, tandis que la page de redirection du FAI est remplacée par une page d’erreur DNS contrefaite. Les applications autres que les navigateurs Web ne peuvent pas être désactivées du système en utilisant des cookies, car l’opt-out cible uniquement le protocole HTTP, lorsque le système est réellement implémenté dans le système DNS neutre en protocole.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.