Qu'est-ce qu'une attaque DNS amplification ?
Une attaque DNS amplification est une technique DDoS reflection-based où un attaquant abuse des resolvers DNS ouverts mal configurés pour inonder une victime avec de gros paquets response. L'attaquant envoie de petites requêtes DNS (~60 bytes) avec l'IP de la victime comme source spoofée. Les serveurs DNS répondent avec des replies beaucoup plus grandes (1 000-4 000+ bytes) envoyées à la source spoofée — la victime. Résultat : la bande passante de l'attaquant est amplifiée 50-100x.
DNS amplification a été responsable de nombreuses des plus grandes attaques DDoS dans l'histoire, avec des pics dépassant 300 Gbps.
Comment DNS amplification fonctionne
- L'attaquant crée requête DNS spoofée. Source IP fixée à l'IP victime.
- Requête envoyée à resolver DNS ouvert.
- Resolver répond à la victime.
- Victime inondée.
- Répéter at scale.
Pourquoi le facteur amplification compte
| Type requête | Taille requête | Taille response | Facteur amplification |
|---|---|---|---|
| Record A standard | ~60 bytes | ~80 bytes | 1,3x |
| ANY query | ~60 bytes | ~3 000 bytes | 50x |
| DNSSEC TXT | ~60 bytes | ~4 000 bytes | 67x |
| Maximum (rare) | ~60 bytes | ~6 000 bytes | 100x |
Pourquoi les resolvers DNS ouverts existent
Un "resolver ouvert" accepte les requêtes DNS de n'importe quelle source IP — rarement intentionnel, principalement misconfiguration.
Mitigation
Pour les victimes potentielles
- Utiliser service CDN/DDoS.
- Provisionner suffisamment de bande passante.
- Rate-limit les responses DNS vers vos IPs.
- Monitorer les pics soudains de trafic.
Pour les opérateurs DNS server
- Désactiver recursion ouverte.
- Implémenter Response Rate Limiting (RRL).
- Filtrer les ANY queries.
- Déployer DNS Cookies (RFC 7873).
Pour les ISPs/réseaux (BCP 38)
- Implémenter validation source-address (BCP 38).
Autres types d'attaques reflection
- NTP amplification — ~556x.
- Memcached amplification — ~50 000x. A causé l'attaque GitHub 2018 de 1,35 Tbps.
- SSDP amplification
- SNMP amplification
FAQ : attaques DNS amplification
Puis-je être victime d'une attaque DNS amplification ?
Oui — n'importe qui avec des IPs publiques peut être ciblé.
Comment je vérifie si mon serveur DNS est un resolver ouvert ?
Outils comme dig +recurse @your-server-ip example.com depuis l'extérieur de votre réseau.
Les attaques DNS amplification sont-elles toujours courantes ?
Oui, mais part plus petite qu'au début 2010s.
DNSSEC rend-il l'amplification pire ?
Oui — les responses DNSSEC sont beaucoup plus grandes.
BCP 38 peut-il arrêter DNS amplification ?
Si déployé universellement, oui.
Quelle a été la plus grande attaque DNS amplification ?
Spamhaus 2013 (~300 Gbps) et Cloudflare 2014 (~400 Gbps).
Testez la protection DDoS avec LoadFocus
Si vous validez vos défenses DDoS, LoadFocus exécute des tests load HTTP jusqu'à 12 500 VUs depuis 25+ régions. Inscrivez-vous sur loadfocus.com/signup.
Outils LoadFocus connexes
Mettez ce concept en pratique avec LoadFocus — la plateforme même qui propulse tout ce que vous venez de lire.