L'approche de Google Public DNS pour lutter contre les attaques deempoisonnement de cache

Le système de noms de domaine (DNS) traduit les noms de domaine en adresses IP, permettant aux appareils de communiquer sur Internet. Le DNS a été conçu à l'origine sans mesures de sécurité, le rendant vulnérable aux attaques comme l'intoxication du cache, où les attaquants simulent des réponses pour rediriger les utilisateurs. Google Public DNS emploie diverses techniques pour atténuer l'intoxication du cache, y compris la randomisation du port source et de l'ID de requête, comme le précise la RFC 5452. Ils ont également mis en œuvre des cookies DNS, mais ont trouvé un soutien limité parmi les serveurs autoritaires. La randomisation du cas des noms de requête, proposée dans un projet de 2008, s'est avérée efficace et est maintenant déployée par Google Public DNS par défaut, couvrant plus de 90% du trafic UDP vers les serveurs de noms. Google Public DNS a également mis en œuvre DNS-over-TLS (ADoT) pour la communication chiffrée avec les serveurs de noms autoritaires, offrant à la fois sécurité et confidentialité. En mettant en œuvre ces contre-mesures, Google Public DNS vise à fournir un service de résolution DNS sécurisé et fiable. Ils encouragent les opérateurs de serveurs DNS à adopter ces mécanismes de sécurité et à collaborer pour améliorer la sécurité DNS dans son ensemble. Google Public DNS offre une protection contre les attaques d'intoxication du cache passif pour plus de 90% des requêtes autoritaires. Les opérateurs de serveurs DNS sont invités à soutenir plusieurs mécanismes de sécurité pour renforcer la sécurité DNS. Google Public DNS est activement impliqué dans la communauté DNS pour améliorer les normes de sécurité. Pour plus de détails techniques, veuillez consulter leurs présentations à DNS-OARC 38 et 40.