Sécurité et durcissement DNS — BIND, DNSdist et résilience aux DDoS volumétriques

ITORO renforce et protège le DNS faisant autorité et récursif selon une approche en couches : des résolveurs BIND durcis selon NIST, un front-end de sécurité DNSdist et une mitigation volumétrique WanGuard. Les attaques DDoS contre le DNS s’étendent sur deux couches très différentes — volumétrique et applicative — et chacune nécessite l’outil adapté. Nous précisons clairement ce qui est filtré et où, plutôt que de promettre un seul boîtier qui arrête tout.

Trois couches de résilience DNS face au DDoS

  • Volumétrique (L3/L4) — les flots d’amplification et de réflexion sur UDP/53 sont rejetés par WanGuard à l’aide de BGP FlowSpec et de RTBH, avant qu’ils ne saturent vos liens montants.
  • Couche applicative (L7) — les flots NXDOMAIN, de sous-domaines aléatoires (water-torture) et de requêtes ressemblent à du trafic DNS valide, si bien que BGP FlowSpec ne peut pas les identifier. Ils sont arrêtés dans DNSdist grâce à la limitation du débit de réponse par client et au blocage dynamique.
  • Durcissement du résolveur — le serveur DNS lui-même est verrouillé selon NIST SP 800-81r3 afin de rester rapide et correct sous charge.

Durcissement de BIND (NIST SP 800-81r3)

Nous déployons ou auditons vos résolveurs BIND9 selon les meilleures pratiques actuelles :

  • Validation DNSSEC pour rejeter les réponses usurpées et altérées.
  • ACL restreintesallow-recursion et listes de réseaux de confiance limitées à vos propres préfixes, ce qui met fin aux abus de résolveur ouvert.
  • Tampon EDNS 1232 (DNS Flag Day 2020) pour supprimer la surface d’attaque liée à la fragmentation IP.
  • Minimisation QNAME et DNS cookies contre l’usurpation off-path et les fuites de confidentialité.
  • Masquage de version et configuration de service selon le principe du moindre privilège.
  • Journalisation structurée avec une rétention de 90 jours à 12 mois pour le DFIR et les preuves NIS2.
  • Architecture à primaire caché / upstream uniquement afin que le niveau de récursion ne soit jamais directement exposé.

Front-end de sécurité DNSdist

Devant BIND, nous exécutons DNSdist comme couche de politique face au client — le niveau qui arrête réellement les flots DNS applicatifs :

  • Limitation du débit par client et par réseau pour absorber les flots de requêtes NXDOMAIN et water-torture.
  • Blocage dynamique qui réagit en temps réel aux sources abusives.
  • Pare-feu DNS — blocage protecteur des domaines C2 et de malware connus comme malveillants, issus de flux de menaces en temps réel (URLhaus, ThreatFox, CERT.pl et autres), rechargés à chaud toutes les quelques minutes.
  • Mise en cache des réponses et répartition de charge du backend entre vos résolveurs BIND pour la résilience sous attaque.
  • DNS chiffré — DoT (853), DoH (443) et DoQ, terminés sur DNSdist avec des certificats Let’s Encrypt automatisés.

Conformité NIS2

Le DNS est désigné comme infrastructure critique au titre de NIS2. Notre durcissement correspond aux mesures techniques de l’article 21(2) : contrôle d’accès, journalisation et rétention, DNS protecteur, chiffrement et surveillance. Nous pouvons fournir une liste de contrôle de conformité spécifique à chaque pays et intégrer les alertes à votre flux de signalement d’incidents vers le CSIRT national (par exemple le CSIRT NASK en Pologne). Consultez nos options de support et NIS2.

Périmètre honnête — ce que chaque couche peut et ne peut pas faire

  • BGP FlowSpec n’exprime que des critères de correspondance L3/L4 — il ne peut pas inspecter les noms de requêtes DNS, il n’arrête donc pas les flots DNS L7. C’est le rôle de DNSdist.
  • La limitation du débit de réponse protège votre résolveur, mais le flot arrive tout de même sur le câble — les événements volumétriques à l’échelle du térabit sont escaladés en amont vers un centre de nettoyage (scrubbing center).
  • Nous déployons la couche adaptée à votre trafic et à votre budget ; nous ne vendons pas un boîtier unique comme remède universel.

Foire aux questions

WanGuard seul peut-il protéger le DNS contre le DDoS ?

Non. WanGuard et BGP FlowSpec gèrent la partie volumétrique — les flots d’amplification et de réflexion sur UDP/53. Les flots DNS applicatifs (NXDOMAIN, water-torture) nécessitent la limitation du débit de réponse de DNSdist à la couche 7 (Layer 7). Nous déployons les deux afin que les couches se couvrent mutuellement.

Qu’est-ce qu’une attaque DNS water-torture (sous-domaines aléatoires) ?

Un flot de requêtes vers des sous-domaines aléatoires et inexistants d’une zone réelle. Chacune ressemble à une requête valide, si bien que les filtres au niveau paquet les laissent passer ; ensemble, elles épuisent le cache et le CPU du résolveur. La limitation du débit et le blocage dynamique de DNSdist les atténuent.

Prenez-vous en charge DNSSEC et le DNS chiffré ?

Oui — validation DNSSEC sur BIND, et DoT, DoH et DoQ sur DNSdist avec renouvellement automatisé des certificats.

Est-ce conforme à NIS2 ?

C’est conforme à l’article 21(2) de NIS2 : contrôle d’accès, journalisation et rétention, DNS protecteur, chiffrement et surveillance, ainsi que le signalement d’incidents à votre CSIRT national. Nous fournissons la liste de contrôle et la piste de preuves.

Remplacez-vous notre DNS ou durcissez-vous celui que nous exploitons ?

Les deux sont possibles. Nous durcissons votre BIND et votre DNSdist existants, ou nous déployons une pile durcie neuve dimensionnée à votre base d’abonnés — en projet ponctuel ou avec un support managé continu.

Votre entreprise est-elle à l'abri des attaques DDoS ?

Les attaques DDoS peuvent survenir à tout moment. N'attendez pas, soyez proactif dans votre défense.

Voir les tarifs et forfaits