Faut-il fermer les serveurs DNS récursifs ouverts ?

L'Association chargée d'encadrer la gestion des noms de domaine Internet en '.fr' recommande la fermeture des serveurs DNS récursifs ouverts.

Face à l'augmentation des attaques par déni de service utilisant des serveurs DNS (Domain Name System), l'Afnic lance une alerte générale.

Les serveurs de noms de domaine effectuent la conversion entre les adresses Internet (URL) et les adresses IP identifiant chaque ordinateur. Ces serveurs ne sont pas à l'abri d'attaques, notamment par le biais de leur mémoire cache.

Aujourd'hui, les risques sont plus élevés avec les "serveurs DNS récursifs ouverts", selon l'Afnic, Association française chargée d'encadrer la gestion administrative et technique des noms de domaine Internet en '.fr' (France) et en '.re' (Réunion).

Les serveurs en question ne se limitent pas à leur réseau local, "ils répondent à des requêtes du monde entier." Ainsi, ils peuvent servir de "relais pour une attaque par déni de service , la réponse DNS étant plus importante que la requête, il y a amplification de l'attaque."

Considérant "la menace qui pèse sur tout l'Internet", considérant le "peu d'usages légitimes" d'un serveur DNS récursif ouvert, l'Afnic recommande aux administrateurs systèmes "la fermeture" pure et simple de ce type de serveur.

Par ailleurs, l'Afnic et d'autres entités chargées de l'enregistrement de noms de domaine de premier niveau (TLD) étudient à l'heure actuelle les mesures correctives à adopter, en particulier "le refus de servir les requêtes des serveurs DNS récursifs ouverts."

L'Association fait notamment référence au billet technique de Stéphane Bortzmeyer (http://www.bortzmeyer.org/fermer-les-recursifs-ouverts.html) et à des dossiers en anglais sur les attaques actuelles (http://www.isotf.org/news/DNS-Amplification-Attacks.pdf ; http://www.us-cert.gov/reading_room/DNS-recursion121605.pdf).