Le blog de Genma
Vous êtes ici : Accueil » Veille Technologique » Les DNS menteurs

Les DNS menteurs

D 30 mars 2015     H 09:00     A Genma     C 2 messages   Logo Tipee

TAGS : DNS

Ce billet est dans la lignée de mes billets taggués DNS, à savoir :
 DNS - Vulgarisation
 Résolution DNS et hébergement mutualisé
 DNS et vie privée
 DNS, DNSSEC et DNSCrypt

Qu’est-ce qu’un résolveur DNS menteur ?

En quelques mots, un résolveur DNS menteur ne renvoie pas l’erreur d’usage lorsqu’un domaine ou un sous-domaine n’existe pas mais feinte l’existence de celui-ci afin de dérouter le trafic. Si le logiciel est un navigateur web, celui-ci sera dirigé arbitrairement vers une page donnée. Cette page sera entièrement sous contrôle du fournisseur d’accès, une page de recherche par exemple, avec revenus publicitaires à la clef. Si le logiciel n’est pas un navigateur, celui-ci obtiendra simplement une réponse inappropriée et inexacte, possible source de dysfonctionnement. Concrètement, lorsqu’un internaute saisit un nom de domaine inexistant (par exemple le sous-domaine "encyclo.wikipedia.org"), une réponse positive est malgré tout retournée au browser pour le tromper, alors que la page n’existe pas. Source de cette définition Freezone.fr

Sur ce sujet, je vous recommande également la lecture du billet de Stéphane Bortzmeyer DNS Menteurs.

DNS cache poisoning

L’empoisonnement du cache DNS ou pollution de cache DNS (DNS cache poisoning ou DNS cache pollution en anglais) est une technique permettant de leurrer les serveurs DNS afin de leur faire croire qu’ils reçoivent une réponse valide à une requête qu’ils effectuent, alors qu’elle est frauduleuse.Source

En quoi un résolveur DNS menteur, le DNS cache poisoning sont des problèmes

Je voudrais également mentionner le typosquatting. Le Typosquattage, en français, c’est le fait de réserver des noms de domaines assez proches de vrais noms, pour que si une personne se trompe en tapant l’adresse (par exemple gooogle.com), le site existe et s’affiche. La personne est alors, la plupart du temps, sur un site dont le but est de transmettre des virus et autres malwares qui vont infectés la machine.

Dans le cas d’un DNS menteur, l’adresse n’existe pas. Mais on n’a quand même quelque chose qui s’affiche. Ce peut être de la publicité, un site malveillant... Dans ce cas du DNS cache poisoning, l’adresse est correcte, le site existe, mais quand on se rend sur ce site, on arrive sur un autre site. On se retrouve ailleurs. Là encore, le "ailleurs" peut être un site qui va infecter la machine, un site de phishing/hameçonnage... Ou une volonté de censurer (en interdisant un accès à certains sites par exemple).

On est donc face au problème suivant : je me connecte à un réseau pour aller sur Internet. Et je n’ai aucune garantie, par défaut, que le site web que je consulte est bien le bon. J’ai beau avoir saisi une adresse dans la barre d’adresse, ou sélectionner un favori, le site qui s’affiche peut être le vrai site (dans la majorité des cas), mais également être un faux site. Et ce de part des techniques différentes : j’ai mal saisi l’adresse ou j’ai bien saisi l’adresse mais on me dirige vers un autre endroit... Mes précédents billets taggués DNS devraient suffire à vous convaincre des problèmes que cela peut engendrer, pour nos données personnelles, notre sécurité, notre vie privée...

Pour aller plus loin, la technologie RPZ

Si on veut aller un peu plus loin dans la technique, il y ces différents billets :
 RPZ, cette technologie implémentée dans Bind depuis la version 9.8 qui permet très facilement de faire mentir le serveur DNS qui gère notre zone. Mise en place d’un DNS menteur avec Bind 9.8 et RPZ"
 Toujours Stéphane Bortzmeyer : RPZ, un moyen simple de configurer un résolveur DNS BIND pour qu’il mente
  Le DNS RPZ est une technique permettant au service DNS de modifier les réponses afin d’empêcher les utilisateurs finaux d’accéder à un domaine X ou Y. Un pare feu standard va filtrer certaines @IP et empêcher l’établissement de certaines session TCP, alors qu’un pare feu DNS cachera certaines réponses à l’utilisateur, d’ou son célèbre nom "DNS menteur". Un pare feu DNS ne bloque pas la réponse du serveur DNS d’origine (vu qu’il la garde dans sa cache), mais empêche l’utilisateur final de la recevoir en changeant la réponse. Il peut tromper l’utilisateur sur l’indisponibilité, l’inexistence du serveur ou domaine demandé ; il peut remplacer la réponse, voire lui renvoyer une réponse vide. http://www.annoratuto.com

2 Messages

  • Bonjour !

    Et d’ailleurs, sur le même blog de Stéphane Bortzmeyer, un exemple de DNS menteur : OpenDNS qui n’a d’open que le nom...

    http://www.bortzmeyer.org/opendns-non-merci.html


  • Aussi bien dans ma vie personnel qu’au taff on utilise bind9 Menteur, en effet savoir faire mentir son dns peut être très utile dans une entreprise par exemple pour qu’on recherche "Email.com" on tombe sur le webmail de l’entreprise, ...

    Ce qui permet de créer des services intranet pour l’entreprise sans forcé nos utilisateur a devoir se souvenir de quoi que se soit (et si on change l’ip du serveur une modification du dns et les clients ne vois pas la mise a jour)

    Maintenant pour savoir si le site n’est pas détourner, c’est aussi a ca que sert l’https, vérifier que le site sur le quel tu est, est bien le vrai et pour le "on peut pas tous payer un certificat ssl" je rétorque en avance qu’il existe startssl et https://letsencrypt.org/ , qui fournisse des certificats ssl gratuitement

    Liz