L’avenir des entreprises passe par leurs développeurs

En savoir plus
Entreprise L’équipe à l’origine de meilleures expériences en ligne Carte réseau Une toute nouvelle architecture pour l’Internet d’aujourd’hui Relations avec les analystes du secteur Découvrez ce que les analystes du secteur pensent de Fastly Nouveautés Annonces et informations récentes Plateforme La plateforme qui rend les expériences numériques plus efficaces, plus rapides et plus sécurisées Témoignages clients Découvrez comment les meilleures entreprises du Web réussissent Événements Rencontrez-nous lors d’un événement Carrières Rejoignez l’équipe qui crée un meilleur Internet

Plateforme Edge Cloud de Fastly

Voir tous les produits
Distribution de contenu (CDN) Proposez des expériences rapides et personnalisées à l’échelle mondiale Streaming en direct Proposez des expériences de streaming fluides et efficaces Vidéos à la demande (VoD) Offrez d’incroyables expériences de vidéo à la demande Media Shield Optimisez les déploiements multi-CDN Packaging à la volée Conditionnez du contenu vidéo à la demande de manière dynamique et en temps réel Image Optimizer Traitement des images rapide et à la pointe de la technologie Équilibreur de charge (load balancer) Contrôle granulaire des décisions de routage Cryptage TLS Simplifiez la gestion du protocole Transport Layer Security (TLS) Origin Connect Connectez-vous directement à Fastly Adresses IP Gérez facilement vos adresses IP HTTP/3 et QUIC Protocoles modernes API de recherche de domaines Recherche instantanée et précise de noms de domaine Object Storage Get direct access to large files at the edge with zero egress fees
WAF de nouvelle génération Sécurité moderne des applications Web et des API, partout dans le monde Gestion des bots Détectez et neutralisez les attaques de bots Protection contre les attaques par déni de service distribué Atténuation automatisée des attaques perturbatrices et distribuées Sécurité des API Sécurisez vos points de terminaison d'API Protection côté client Protégez-vous contre les attaques côté client Gestion des bots d’IA Empêcher les bots d’IA de copier le contenu d’un site web
Edge Compute Mettez vos applications en périphérie : notre plateforme instantanée vous aide à créer des expériences exceptionnelles pour vos utilisateurs Bases de données clé-valeur La bases de données clé-valeur la plus rapide du marché et aussi facile à utiliser que vos outils de base de données habituels Websockets & Fanout Une messagerie en temps réel, à l’échelle mondiale, entièrement personnalisable et facile à configurer SDK pour développeurs Programmez les mêmes services que nous utilisons pour créer les produits Fastly Enterprise Serverless La plus puissante de toutes les plateformes sans serveur, basée sur des normes ouvertes et intégrée à la suite complète de produits Fastly IA Accélérez vos charges de travail d’IA et gagnez en efficacité grâce à la mise en cache sémantique Object Storage Get direct access to large files at the edge with zero egress fees Cache programmable Bénéficiez d'un accès programmatique complet au même système légendaire de mise en cache qui alimente notre CDN. Serveur MCP Un contrôle alimenté par l'IA pour vos services Fastly.
Logging en temps réel Diffusez et analysez des journaux en temps réel Edge Observer Analysez les données de trafic en direct et historiques Domain Inspector Évalue les informations au niveau du domaine Origin Inspector Consultez des informations complètes, de l’origine jusqu’à la périphérie Alertes Créez des notifications pour les métriques de service Log Explorer & Insights Interagissez avec des informations exploitables

Des services exceptionnels pour des résultats exceptionnels

Voir tous les services
Services professionnels Nos experts vous aident à migrer ou optimiser votre service de distribution Services de divertissement en direct Des expériences de streaming en direct qui s’adaptent à vos audiences Plans d’assistance Une assistance hors pair de bout en bout CDN géré Contrôle et flexibilité optimisés Services de sécurité gérés Protection des applications web gérée par des experts Assistance client L’assistance Fastly se tient à vos côtés pour développer vos activités

Solutions numériques innovantes

Voir toutes nos solutions
Services de streaming Proposez des streamings en direct et à la demande d’une qualité exceptionnelle Médias émergents Des performances élevées pour les marques de médias émergentes Édition numérique Journalisme en temps réel avec des expériences de lecture améliorées Vente au détail et e-commerce Des expériences rapides et personnalisées à grande échelle Services financiers Sécurité intégrée pour protéger les données clients Haute technologie Adaptez instantanément vos performances au rythme de votre croissance Tourisme et hôtellerie Des expériences en ligne personnalisées pour vos invités et visiteurs Formation en ligne Proposez des formations sécurisées à grande échelle Jeux Propulsez vos joueurs vers la victoire grâce à des téléchargements de jeux ultra-rapides et sécurisés iGaming Proposer des expériences de jeu rapides, sûres, ininterrompues et attrayantes en périphérie
Réduction des coûts associés à l’infrastructure Réduisez vos dépenses cloud tout en les rendant plus prévisibles Optimisation multicloud Unifiez et simplifiez vos ressources cloud Confiance des clients En savoir plus sur les initiatives de Fastly pour instaurer une relation de confiance Protection de la vie privée Découvrez comment protéger les données de votre utilisateur Tableau de bord de performance écologique Consultez votre consommation d'électricité et vos émissions de GES pour la plateforme Fastly

Donnez à chaque développeur les moyens de créer des expériences extraordinaires

Essayez Fastly gratuitement
Développeurs Créez quelque chose d’incroyable aujourd’hui Programme Fast Forward Pour un Internet plus fiable Outils de développement Des outils de développement qui donnent un réel avantage aux équipes SDK pour développeurs Programmez les mêmes services que nous utilisons pour créer les produits Fastly Communauté Rejoignez des développeurs du monde entier S’inscrire Créez un compte développeur gratuit

Créez un Internet sûr, rapide et attrayant avec Fastly

Pourquoi s’associer à Fastly ? Proposez des expériences sûres, rapides et attrayantes Partenaires cloud Découvrez les avantages d’associer Fastly à vos services cloud Partenaires de distribution Améliorez vos offres et capacités avec les produits Fastly Partenaires technologiques et d’intégration Découvrez notre réseau de partenaires
Connexion au portail des partenaires Accédez à toutes vos ressources de partenaires Fastly Devenez partenaire Développez votre activité en revendant ou en recommandant des produits Fastly Trouvez un partenaire Nous vous mettons en relation avec le partenaire le mieux adapté à vos besoins

Obtenez de l’aide avec Fastly

Documentation Tirez le meilleur parti de Fastly Bibliothèque de ressources Découvrir des feuilles de données, des rapports et plus encore Fastly Academy Formation pratique sur les produits Fastly Centre d’apprentissage En savoir plus sur les technologies Internet Blog Nos dernières idées et réflexions Recherche dans le domaine de la sécurité Une sécurité renforcée grâce à la recherche Point de vue de Fastly Découvrez des points de vue d’experts et des informations sur le secteur
Centre d’assistance Comment pouvons-nous vous aider ? Nous contacter Contactez-nous dès aujourd’hui
Retour au centre d’apprentissage

Qu’est-ce qu’une attaque par amplification DNS ?

Une attaque par amplification DNS est une attaque DDoS de type « réflexion » qui utilise des résolveurs DNS ouverts pour submerger les cibles d’un trafic UDP amplifié.

Analysons cela pour comprendre comment cela fonctionne. Le système de noms de domaine (DNS) traduit les noms de domaine lisibles par l’homme, tels que example.com, en adresses IP numériques que les appareils utilisent pour accéder aux ressources en ligne. Ce processus s’appuie sur des serveurs de noms pour résoudre les noms de domaine et renvoyer les adresses IP correspondantes.

Lors d’une attaque par amplification DNS, le hacker usurpe son identité en se faisant passer pour le site cible. Il envoie de petites requêtes, généralement de quelques centaines d’octets seulement, à des serveurs de noms ouverts qui répondent à tout demandeur. Les problèmes commencent lorsque ces serveurs de noms renvoient des réponses nettement plus volumineuses, non pas à la source, mais à l’adresse IP cible usurpée. 

Impact des attaques par amplification DNS

Les attaques par amplification DNS peuvent provoquer des perturbations immédiates et à long terme pour votre entreprise. Ces attaques sont conçues pour submerger votre infrastructure, provoquant des interruptions de service, limitant l’accès aux ressources et entraîne des vulnérabilités persistantes. Voici les principales conséquences à prendre en compte :

  • Perturbation de l’accessibilité des services : les clients peuvent se retrouver dans l’incapacité d’accéder à des informations ou services essentiels, ce qui nuit à leur expérience et réduit la crédibilité de votre entreprise. 

  • Consommation excessive de ressources réseau : la hausse du trafic consomme une bande passante importante, ralentissant toute votre infrastructure. Cela a un impact à la fois sur la productivité des employés et sur l’expérience utilisateur, entraînant des retards coûteux.

  • Coûts directs et pertes potentielles de revenus : gérer l’attaque augmente les dépenses, et les interruptions de service entraînent des occasions manquées, affectant directement vos résultats financiers. 

  • Érosion de la confiance des clients et de l’image de marque : les pannes fréquentes peuvent nuire à votre réputation et inciter les clients à rechercher des alternatives plus fiables. 

  • Dommages collatéraux sur les systèmes tiers : les applications connectées et les infrastructures partagées peuvent subir des conséquences imprévues, même si l’attaque ne les vise pas directement. 

  • Baisse de performance du système et du réseau : les effets d’une attaque persistent souvent, ralentissant progressivement les performances jusqu’à la mise en œuvre de mesures correctives. 

  • Exposition d’autres failles de sécurité : ces attaques peuvent révéler des vulnérabilités cachées dans votre réseau, ouvrant ainsi la voie à de nouvelles exploitations.

  • Surmenage des équipes informatiques et de sécurité : le dépannage en continu épuise vos équipes, ce qui réduit leur capacité à s’acquitter d’autres tâches essentielles. 

Détection des attaques par amplification DNS

La détection précoce est essentielle pour atténuer les attaques par amplification DNS, car le fait de les identifier rapidement permet d’éviter des conséquences plus graves. Grâce à des outils et des stratégies de surveillance proactive, vous pouvez détecter rapidement toute activité suspecte et réagir avant que l’attaque ne cause des dommages significatifs. Voici comment détecter les incidents potentiels :

  • Surveillance des pics de trafic DNS ou UDP soudains : une hausse soudaine et inattendue de requêtes DNS ou de paquets UDP sur votre réseau peut indiquer une attaque active ciblant vos services. Garder un œil sur ces pics permet à votre équipe d’agir rapidement pour en minimiser l’impact. 

  • Analyse du contenu des paquets à la recherche de requêtes d’amplification : en examinant en détail les paquets de données transitant par votre réseau, vous pouvez identifier des schémas de requêtes DNS anormaux qui ne correspondent pas au trafic habituel. Ces schémas peuvent inclure des requêtes destinées à exploiter des vulnérabilités par amplification DNS. 

  • Détection des anomalies grâce à l’apprentissage automatique : les systèmes basés sur l’IA, capables de comprendre le comportement habituel de votre réseau, peuvent signaler automatiquement tout écart par rapport à la norme. Lorsque les schémas de trafic évoluent de manière inattendue, les algorithmes de machine learning peuvent alerter votre équipe de sécurité en temps réel sur d’éventuelles menaces.

  • Surveillance des réponses DNS volumineuses : les réponses DNS trop volumineuses relatives à certains types de requêtes, notamment celles impliquant des vulnérabilités d’amplification, indiquent que votre réseau est pris pour cible. Des réponses systématiquement volumineuses sur l’ensemble de votre trafic suggèrent qu’une attaque est en cours. 

  • Surveillance d’une grande diversité dans les sources de réponse des serveurs DNS : si les requêtes DNS proviennent soudainement d’un large éventail de serveurs très variés plutôt que des sources habituelles, cela constitue un signal d’alerte indiquant une attaque par réflexion, dans laquelle le trafic est redirigé afin de saturer vos systèmes.

  • Suivi de l’augmentation des types de requêtes susceptibles d’être utilisées à des fins d’amplification : surveillez les pics inhabituels concernant certains types de requêtes, tels que les enregistrements ANY ou TXT qui ne correspondent pas au trafic réseau habituel. Cela peut constituer un indicateur précoce signalant que des hackers testent votre réseau à la recherche de failles pouvant être exploitées à des fins d’amplification. 

  • Détection des pics soudains d’utilisation de la bande passante : des hausses rapides et inexpliquées de la bande passante du réseau, en particulier au niveau du trafic entrant, indiquent clairement que votre réseau est submergé par une attaque par amplification. Détecter ces pics tôt permet à votre équipe de mettre en place des défenses avant que l’attaque ne prenne de l’ampleur. 

Prévenir et atténuer les attaques par amplification DNS

Pour contrer efficacement les attaques par amplification DNS, une approche à plusieurs niveaux est nécessaire, car aucune solution unique ne peut entièrement protéger contre cette attaque DDoS. Pour réduire les vulnérabilités et limiter les dommages, les entreprises doivent adopter des stratégies proactives. Une solution complète intègre des configurations techniques, des contrôles réseau, la planification des interventions et la collaboration au sein de la communauté plus large de la cybersécurité. 

Vous trouverez ci-dessous quelques mesures essentielles à prendre en compte dans le cadre de votre stratégie de résilience :

  • Mise en œuvre du BCP38

Les recommandations du BCP38 suggèrent de configurer vos routeurs pour filtrer les paquets IP en fonction de leur adresse source, afin d’assurer leur authenticité. En activant le filtrage des entrées au niveau du périmètre de votre réseau, vous pouvez rejeter les adresses usurpées utilisées dans les attaques par amplification DNS, ce qui permet de bloquer les attaques par réflexion avant qu’elles ne s’intensifient. 

  • Configuration d’un serveur DNS sécurisé

Une configuration adéquate de vos serveurs DNS peut empêcher toute utilisation abusive dans le cadre d’attaques par amplification. Limiter les transferts de zone aux serveurs autorisés, désactiver les résolveurs récursifs lorsqu’ils ne sont pas nécessaires et sécuriser les options de transfert de zone constituent des mesures essentielles pour limiter votre vulnérabilité.  

  • Déploiement d’un DNS Anycast

La répartition des serveurs DNS de référence sur plusieurs sites géographiques permet de disperser le trafic malveillant, empêchant ainsi qu’un seul serveur ne soit submergé. Le DNS Anycast contribue à maintenir la disponibilité du service en cas d’attaque par réflexion, ce qui complique la tâche des hackers souhaitant paralyser votre infrastructure. 

  • Limitation du débit des requêtes provenant d’une même source

Limiter le nombre de requêtes DNS autorisées par adresse IP source empêche les hackers de saturer votre système avec un nombre excessif de requêtes. Configurer la limitation du débit n fonction des schémas de trafic habituels apporte une solide protection contre les utilisations abusives du DNS. 

  • Filtrage du trafic DNS malveillant

Mettez en place des filtres permettant d’identifier et de bloquer les requêtes DNS présentant des schémas malveillants. Le filtrage des méthodes d’attaque connues empêche votre réseau de répondre aux requêtes suspectes. Mettez régulièrement à jour ces filtres pour anticiper les menaces émergentes.

  • Restriction d’accès au résolveur DNS ouvert

Limiter l’accès à vos résolveurs DNS garantit que seuls les utilisateurs autorisés peuvent utiliser vos services. Mettez en œuvre des normes d’authentification telles que DNSSEC afin d’empêcher les hackers d’exploiter des résolveurs ouverts pour mener des attaques par réflexion. 

  • Limitation du débit de réponse DNS (RRL)

En limitant la fréquence à laquelle vos serveurs DNS envoient des réponses identiques, vous réduisez le risque d’utilisation abusive dans le cadre d’attaques par amplification. Cette stratégie garantit la réactivité de votre réseau sans contribuer à un éventuel trafic DDoS. 

  • Analyse continue du trafic DNS

Une surveillance régulière du trafic DNS permet d’identifier rapidement les anomalies. Des alertes automatisées peuvent signaler des comportements inhabituels, ce qui permet à votre équipe de sécurité d’intervenir rapidement avant qu’une attaque ne cause des dommages importants. 

  • Services spécialisés de protection DDoS

Les fournisseurs tiers de protection DDoS, tels que Fastly, proposent des solutions avancées d’atténuation adaptées à la gestion d’attaques complexes. Ces services offrent une assistance 24 heures sur 24, 7 jours sur 7, ainsi que des outils spécialisés, apportant ainsi un niveau de sécurité supplémentaire face à des menaces de grande ampleur. L’évaluation des différentes offres peut vous aider à choisir le meilleur partenaire pour renforcer vos défenses.

  • Audits de sécurité réguliers

Des audits de sécurité périodiques de votre infrastructure DNS et de vos contrôles techniques sont indispensables pour identifier les vulnérabilités avant qu’elles ne puissent être exploitées. En remédiant de manière proactive aux failles, vous garantissez la résilience de vos systèmes face à l’évolution des stratégies d’attaque. 

  • Mise en œuvre de la liste de contrôle d’accès (ACL)

La mise en œuvre des listes de contrôle d’accès vous permet de contrôler quelles adresses IP et quels sous-réseaux peuvent accéder à vos résolveurs DNS. Les listes noires et blanches constituent une mesure de sécurité supplémentaire en empêchant des tiers non autorisés d’interagir avec vos serveurs. 

  • Déploiement du Next-Gen WAF

Déployer des firewalls d’application web (WAF) capables d’analyser les schémas de trafic DNS permet de bloquer les requêtes malveillantes avant qu’elles n’atteignent vos systèmes essentiels. La mise à jour régulière de vos WAF et de vos définitions de menaces garantit l’efficacité de vos défenses face aux nouvelles méthodes d’attaque.

Pourquoi les solutions de Fastly excellent dans la protection contre les attaques par amplification DNS

La solution de déni de service distribué complète de Fastly et le Next-Gen WAF sont optimisés pour lutter efficacement contre les attaques par amplification DNS. Le réseau mondial de sécurité en périphérie de la plateforme inspecte le trafic DNS proche des utilisateurs finaux, détectant et bloquant les requêtes malveillantes avant qu’elles n’atteignent l’infrastructure du client. Ces solutions de sécurité Fastly offrent ces avantages et fonctionnalités supplémentaires :

  • Absorption du trafic d’attaque : le réseau mondial de points de présence (POP) de Fastly répartit le trafic d’attaque entrant sur plusieurs emplacements, réduisant ainsi la charge sur chaque nœud. 

  • Surveillance du trafic en temps réel : des outils d’analyse avancés détectent les anomalies en temps réel dès que des menaces surviennent. Le moteur de détection SmartParse analyse les tendances du trafic tout en minimisant les faux positifs. 

  • Défenses DNS spécialisées : la sécurité de Fastly inclut des protections spécialement conçues ciblant les attaques DDoS, y compris les tentatives par amplification.

  • Règles de sécurité personnalisables : Fastly permet d’adapter les configurations à vos besoins uniques. Cette flexibilité garantit que les règles tiennent compte avec précision de vos conditions spécifiques et de vos facteurs d’exposition.

  • Réponse automatique aux menaces : Fastly peut lancer des contre-mesures de manière autonome, ce qui permet de gagner un temps précieux en cas de crise. Une atténuation plus rapide permet de réduire les risques liés aux problèmes émergents.

  • Contrôle de sécurité basé sur une API : l’accès programmatique vous permet d’intégrer en toute fluidité vos processus et vos flux de travail automatisés.

  • Mises à jour continues de vos systèmes de défense : l’amélioration régulière des informations et des stratégies de Fastly permet de maintenir à jour les mesures de protection contre les menaces émergentes.

  • Sécurité optimisée pour les performances : Fastly offre une solution de sécurité gérée fiable qui préserve la vitesse et la qualité de service attendues. Vos utilisateurs ne remarquent aucune différence, tandis que vous bénéficiez d’une protection complète.

Découvrez comment Fastly excelle dans la détection, la prévention et l’atténuation des attaques par amplification DNS sans compromettre votre expérience ni celle de vos clients en demandant dès aujourd’hui une démonstration gratuite.

Prêt à commencer ?

Contactez-nous dès aujourd’hui
Parler à un expert