Mitigation DDoS amplification DNS : protéger l’infrastructure sans bloquer le DNS légitime

Définition du problème

Une amplification DNS exploite des résolveurs ouverts ou des serveurs DNS capables de renvoyer des réponses plus grandes que les requêtes reçues. L’attaquant usurpe l’adresse IP de la victime et laisse des serveurs tiers envoyer les réponses vers elle.

Le problème est spécifique : DNS est un service normal et critique. Une réponse UDP/53 n’est pas automatiquement malveillante. Il faut distinguer une réponse inattendue, un flux autoritaire légitime, un résolveur utilisé par les clients et un bruit réfléchi.

Pourquoi c’est important

DNS soutient presque tout : sites web, panneaux client, API, launchers, domaines de serveurs de jeu et supervision. Une mitigation trop brutale peut rendre un service indisponible même si le volume d’attaque est réduit.

Pour un fournisseur qui vend de l’hébergement ou du transit protégé, la disponibilité DNS influence directement la confiance. Si les domaines ne résolvent plus, le client pense que tout est hors ligne, même quand les machines tournent encore.

Les solutions possibles

La prévention consiste à éviter les résolveurs ouverts, appliquer des règles d’accès et limiter les réponses sur ses propres serveurs DNS. Mais pour la victime, fermer son DNS ne suffit pas : les réflecteurs appartiennent souvent à d’autres réseaux.

Côté mitigation, il faut filtrer en amont les réponses DNS impossibles, contrôler les tailles, les ports, les directions de flux et le ratio entre requêtes vues et réponses reçues. Le tout doit rester compatible avec les usages DNS légitimes.

Stratégie de filtrage pour Mitigation DDoS amplification DNS

Peeryx traite DNS amplification comme un problème de réseau et de service. Si le client n’attend pas de réponses DNS vers une IP donnée, le filtrage peut être très strict. Si le client héberge des services DNS, les règles doivent être plus contextuelles.

La relivraison est choisie selon l’architecture : annonce BGP pour un préfixe, tunnel GRE/IPIP/VXLAN pour un serveur existant, cross-connect pour une présence datacenter ou proxy si le besoin concerne surtout l’expérience utilisateur.

Cas concret d’utilisation

Un SaaS peut héberger son site, son API et son panel derrière plusieurs domaines. Pendant une attaque DNS amplification, le lien reçoit des réponses UDP/53 massives alors que l’infrastructure interne ne les a jamais demandées.

En passant par Peeryx, les réponses DNS incohérentes sont réduites avant le firewall client. Les requêtes utiles et les flux réellement nécessaires continuent de passer, ce qui protège la résolution, les sessions clients et la conversion commerciale.

Erreurs fréquentes

La première erreur est de bloquer tout UDP/53 sans vérifier les besoins. Cela peut convenir à une IP qui ne doit jamais parler DNS, mais pas à un service autoritaire, un résolveur contrôlé ou une plateforme avec dépendances DNS.

La deuxième erreur est de confondre prévention et mitigation victime. Sécuriser ses propres serveurs DNS est indispensable, mais ne supprime pas les réflecteurs tiers. Il faut aussi un chemin réseau protégé.

Pourquoi choisir Peeryx pour ce risque DDoS

Peeryx apporte une couche utile aux clients qui ne peuvent pas se permettre de rendre DNS instable : transit IP protégé, serveurs dédiés, tunnels, cross-connects et services gaming qui dépendent de domaines joignables.

La valeur est dans la précision : retirer les réponses DNS réfléchies sans transformer DNS en point de panne, et garder une vue claire sur ce qui est bloqué ou accepté pendant l’attaque.

• L’amplification DNS exploite des réponses volumineuses et impose de distinguer requêtes légitimes, récursion ouverte et trafic usurpé.

FAQ