Aller au contenu principal

10. Considérations de Sécurité (Security Considerations)

Certains opérateurs de serveurs DNS ont exprimé leur inquiétude quant au fait qu'une promotion et une utilisation plus larges du DNS sur TCP les exposeraient à un risque plus élevé d'attaques DoS sur TCP (à la fois accidentelles et délibérées).

Bien qu'il existe un risque plus élevé de certaines attaques spécifiques contre les serveurs compatibles TCP, les techniques d'atténuation des attaques DoS au niveau du réseau se sont considérablement améliorées depuis la conception initiale du DNS.

Il est conseillé aux lecteurs de se familiariser avec [CPNI-TCP], une évaluation de sécurité de TCP qui détaille les attaques TCP connues et les contre-mesures et qui référence la plupart des RFC pertinentes sur ce sujet.

Pour atténuer le risque d'attaques DoS, il est conseillé aux serveurs DNS de s'engager dans la gestion des connexions TCP. Cela pourrait inclure le maintien de l'état sur les connexions existantes, la réutilisation des connexions existantes et le contrôle des files d'attente de requêtes pour permettre une utilisation équitable. Il est probable qu'il soit avantageux de fournir des options de gestion de connexion configurables, par exemple :

  • nombre total de connexions TCP

  • connexions TCP maximales par adresse IP source ou sous-réseau

  • délai d'inactivité de connexion TCP

  • transactions DNS maximales par connexion TCP

  • durée maximale de connexion TCP

Aucune valeur spécifique n'est recommandée pour ces paramètres.

Il est conseillé aux opérateurs de se familiariser avec les paramètres de configuration et de réglage disponibles dans la pile TCP du système d'exploitation. Cependant, des conseils détaillés à ce sujet sortent du cadre de ce document.

Il est conseillé aux opérateurs de serveurs récursifs de s'assurer qu'ils n'acceptent que les connexions de clients attendus (par exemple, par l'utilisation d'une liste de contrôle d'accès (ACL)) et ne les acceptent pas de sources inconnues. Dans le cas du trafic UDP, cela aidera à protéger contre les attaques par réflexion [RFC5358] ; et dans le cas du trafic TCP, cela empêchera un client inconnu d'épuiser les limites du serveur sur le nombre de connexions simultanées.

Dernière mise à jour le