Neustar signale des risques ddos majeurs en cas d'attaque dnssec par
rÉflexion
Sterling, va.--(business wire)--neustar, inc. (nyse: nsr), fournisseur reconnu et indÉpendant de services d'informations en temps rÉel, a publiÉ ce jour un rapport de recherche intitulÉ « dnssec: how savvy ddos attackers are using our defenses against us » dÉcrivant en dÉtail comment les dnssec (domain name system security extensions) peuvent Être corrompus et utilisÉs comme amplificateur lors d'attaques ddos (distributed-denial-of-service). neustar a dÉterminÉ qu'en moyenne une attaque dnssec par rÉflexion peut transformer une requÊte de 80 octets en une rÉponse de 2 313 octets, soit un facteur d'amplification proche de 30, ce qui peut facilement provoquer une panne de rÉseau durant une attaque ddos, entraÎnant une perte de revenus et la violation des donnÉes. « le dnssec a ÉtÉ conÇu comme un outil pour combattre la manipulation de l'espace des noms de domaine (dns). malheureusement, les hackers ont compris que la complexitÉ de ces signatures en fait une cible idÉale pour engorger les rÉseaux lors d'une attaque ddos », dÉclare joe loveless, director product marketing, security services, neustar. « si le dnssec n'est pas correctement sÉcurisÉ, il peut Être exploitÉ, armÉ et au final utilisÉ pour crÉer des attaques ddos massives. » le dnssec a ÉtÉ conÇu pour garantir l'intÉgritÉ et l'authentification du dns, ce qu'il fait grÂce À des signatures numÉriques complexes et des Échanges de clÉs. dÈs lors, lorsqu'un enregistrement dns est transfÉrÉ au dnssec, une quantitÉ considÉrable d'informations supplÉmentaires est crÉÉe. de plus, lorsqu'une commande dns est Émise, « any », la rÉponse amplifiÉe du dnssec est exponentiellement plus grande que la rÉponse dns standard. les rÉsultats et recommandations clÉs du rapport « dnssec: how savvy ddos attackers are using our defenses against us » sont, entre autres : une plÉthore de vulnÉrabilitÉs dnssec – neustar a ÉtudiÉ un secteur d'industrie comportant 1 349 domaines et a dÉterminÉ que 1 084 d'entre eux (80%) pourraient Être secrÈtement dÉtournÉs pour servir d'amplificateur d'attaque ddos (ils Étaient signÉs dnssec et ont rÉpondu À la commande « any »). un facteur d'amplification dnssec moyen de 28,9 – neustar a testÉ les vulnÉrabilitÉs dnssec avec une requÊte de 80 octets, qui a reÇu une rÉponse moyenne de 2 313 octets. la plus grande rÉponse amplifiÉe pesait 17 377 octets, soit 217 fois plus que la requÊte. l'anatomie d'une attaque dnssec par rÉflexion – neustar illustre les serveurs de commande et de contrÔle requis pour exÉcuter les botnets (rÉseau de zombies) et les scripts ciblant les serveurs dns pour lancer les attaques dnssec par amplification. meilleures pratiques pour la rÉduction des attaques – pour les entitÉs qui reposent sur le dnssec, neustar recommande de vÉrifier que le fournisseur dns ne rÉponde pas aux requÊtes « any » ou dispose d'un mÉcanisme pour identifier et empÊcher les manipulations trompeuses. « neustar fait appel aux sciences connexes pour connecter les personnes, les lieux et les objets. c'est pour cela que la sÉcuritÉ du rÉseau est un facteur crucial », souligne m. loveless. « de plus en plus d'entreprises ont recours au dnssec, il est donc primordial de comprendre comment le sÉcuriser. l'heure est venue d'Éliminer ces vulnÉrabilitÉs. » pour plus d'informations sur le rapport « dnssec: how savvy ddos attackers are using our defenses against us », veuillez visiter la page https://hello.neustar.biz/201608---security-services---trade-show---black-hat_dnssec-lp.html. À propos de neustar environ 2,5 quadrillions de bits de donnÉes sont gÉnÉrÉs chaque jour dans le monde. neustar (nyse: nsr) isole certains ÉlÉments et les analyse, simplifie et Édite pour permettre une prise de dÉcisions prÉcise et prÉcieuse. nous sommes une des rares sociÉtÉs capables de savoir avec certitude derriÈre chaque interaction. c'est pour cette raison que les plus grandes marques au monde nous accordent leur confiance pour prendre des dÉcisions capitales (environ 20 milliards de fois par jour). nous aidons les distributeurs À envoyer des messages rapides et utiles, aux bons destinataires. Étant donnÉ que nous pouvons affirmer sans l'ombre d'un doute À nos clients qui les appelle ou se connecte À leur rÉseau, ils sont donc en mesure de rÉpondre en temps rÉel. et les informations exhaustives leur permettant de passer et gÉrer des commandes servent aussi À arrÊter les attaques. nous savons quand une personne tente dissimuler son identitÉ, ce qui contribue À stopper les fraudes et le dÉni de service avant que cela ne pose problÈme. en tant que gestionnaire expÉrimentÉ de certaines des bases de donnÉes les plus complexes au monde, nous aidons nos clients À contrÔler leur identitÉ en ligne, enregistrer et protÉger leur nom de domaine, et diriger le trafic À la bonne adresse rÉseau. en reliant les informations sensibles aux personnes qui en dÉpendent, nous offrons À plus de 12 000 clients dans le monde un pouvoir dÉcisionnel, pas juste des donnÉes. pour plus d'informations, veuillez visiter http://www.neustar.biz le texte du communiquÉ issu d’une traduction ne doit d’aucune maniÈre Être considÉrÉ comme officiel. la seule version du communiquÉ qui fasse foi est celle du communiquÉ dans sa langue d’origine. la traduction devra toujours Être confrontÉe au texte source, qui fera jurisprudence.
