Questions-réponses sur les malwares : épisode 7

Comment peut-on savoir que le cache DNS est empoisonné ? En effet, certaines pages de phishing sont totalement identiques à la page qu’elles imitent… – Question posée par Chani

Il est assez difficile d’identifier des tentatives d’empoisonnement de cache DNS et cela nécessite l’utilisation d’un outil spécial nommé « ncaptool », un instrument qui détecte dynamiquement les réponses non sollicitées en écoutant au niveau de la couche réseau d’un serveur cache DNS. Ce qui se passe à l’intérieur de l’outil est un processus compliqué, mais l’idée est de comparer la sortie du serveur DNS cache (celui déployé dans votre organisation ou au niveau du FAI) avec une réponse émise par un serveur de noms autoritaire (chargé de résoudre des requêtes dans des zones spécifiques). Si les réponses sont différentes, alors l’entrée mise en cache dans le serveur DNS a été « empoisonnée ». Il est également possible de lancer un test  Internet simple, mais efficace, proposé par DNS OARC (Domain Name System Operations Analysis and Research Center – Centre de recherche et d’analyse des opérations du système de nom de domaine).

Comment résoudre ce problème lorsqu’on est victime de ce genre d’attaque ? – Question posée par Chani

Les attaques par empoisonnement de DNS exploitent une faille de conception dans l’architecture du protocole DNS, présente dans la plupart des implémentations de services DNS. En 2008, au moment de la découverte de cette vulnérabilité, les failles du protocole ont été patchées et la grande majorité des serveurs DNS ont été mis à jour.

Si vous lancez le test et découvrez que votre serveur DNS est vulnérable à l’empoisonnement du cache DNS, contactez immédiatement votre FAI ou votre administrateur réseau pour leur demander de mettre à niveau le serveur DNS vers une version qui n’est pas vulnérable. Gardez à l’esprit que le système DNS est un élément critique de l’infrastructure réseau, puisqu’il est responsable de toutes vos activités sur Internet : envoi d’e-mails, lecture de la presse, conversations via messageries instantanées.