EP1774751A1 - Method, device and system for protecting a server against dns denial-of-service attacks - Google Patents

Method, device and system for protecting a server against dns denial-of-service attacks

Info

Publication number
EP1774751A1
EP1774751A1 EP05788637A EP05788637A EP1774751A1 EP 1774751 A1 EP1774751 A1 EP 1774751A1 EP 05788637 A EP05788637 A EP 05788637A EP 05788637 A EP05788637 A EP 05788637A EP 1774751 A1 EP1774751 A1 EP 1774751A1
Authority
EP
European Patent Office
Prior art keywords
server
dns
protecting
service attacks
attacks
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
EP05788637A
Other languages
German (de)
French (fr)
Inventor
Patrick Trabe
Yvon Gourhant
Yannick Carlinet
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Publication of EP1774751A1 publication Critical patent/EP1774751A1/en
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

The invention concerns in particular a method for protecting a server (10, 18) against DNS denial-of-service attacks, which consists in: detecting (100, 102, 104) DNS denial-of-service attacks aimed at the server; intercepting (110) the data packets addressed to the server. If an intercepted packet has a transaction number which is not in the list of transaction numbers of requests emitted by the server, the transmission of said data packet to the server is interrupted (116).

Description

Procédé, dispositif et système de protection d'un serveur contre des attaques de déni de service DNSMethod, device and system for protecting a server against DNS denial of service attacks
La présente invention concerne un procédé, un dispositif et un système de protection d'un serveur contre des attaques de déni de service DNS.The present invention relates to a method, a device and a system for protecting a server against DNS denial of service attacks.
Plus précisément, l'invention concerne un tel procédé dans lequel : on détecte des attaques de déni de service DNS visant le serveur ; - un équipement intermédiaire intercepte des données à destination du serveur ;More specifically, the invention relates to such a method in which: DNS denial of service attacks targeting the server are detected; - intermediate equipment intercepts data to the server;
Un service DNS ( de l'anglais "Domain Name Service") permet de fournir une adresse IP (de l'anglais "Internet Protocol") correspondant à un nom symbolique tel qu'une adresse de type URL ou un nom de domaine. C'est un service qui est fourni par un système DNS adapté pour répondre à des requêtes spécifiques de fourniture de service DNS émises depuis des terminaux clients.A DNS (Domain Name Service) service makes it possible to provide an IP (Internet Protocol) address corresponding to a symbolic name such as a URL address or a domain name. It is a service that is provided by a DNS system adapted to respond to specific requests for DNS service delivery issued from client terminals.
Une requête de fourniture de service DNS est donc une requête qui a pour fonction d'obtenir auprès d'un système DNS l'adresse IP d'un serveur dont on connaît le nom symbolique. Elle comporte entre autres un premier champ d'information appelé "adresse source" ou "champ d'identification" dans lequel est inscrite l'adresse IP de l'émetteur de cette requête et qui est utilisé par le système DNS pour envoyer une réponse au terminal client émetteur de la requête. Elle comporte également un second champ d'informations appelé "adresse demandée" dans lequel est inscrit le nom symbolique du serveur dont l'émetteur de la requête souhaite avoir l'adresse IP. On comprend qu'un service DNS est indispensable pour l'établissement de communications entre différents terminaux reliés entre eux via un réseau de type IP tel que le réseau Internet, puisqu'il permet aux terminaux de se localiser entre eux sans avoir besoin de retenir leurs adresses IP respectives, mais simplement en connaissant leurs noms symboliques. La visite de sites Web ou la transmission de courriers électroniques sont des exemples d'actions qui requièrent la sollicitation d'un service DNS.A DNS service provisioning request is therefore a request whose function is to obtain from a DNS system the IP address of a server whose known symbolic name is known. It comprises, among other things, a first information field called "source address" or "identification field" in which the IP address of the sender of this request is recorded and which is used by the DNS system to send a response to the request. client terminal sending the request. It also includes a second information field called "requested address" in which is inscribed the symbolic name of the server whose issuer of the request wishes to have the IP address. It is understood that a DNS service is essential for the establishment of communications between different terminals connected to each other via an IP type network such as the Internet, since it allows the terminals to be located between them without having to remember their respective IP addresses, but simply by knowing their symbolic names. Web site visits or email transmission are examples of actions that require the solicitation of a DNS service.
Un système DNS est en général constitué d'un ensemble hiérarchisé de serveurs DNS, chaque serveur du système DNS étant associé à une partie bien précise des noms symboliques gérés par le système. Concrètement un serveur DNS comporte des tables de correspondance entre les noms symboliques qu'il gère et des adresses IP correspondantes.A DNS system generally consists of a hierarchical set of DNS servers, each DNS server being associated with a specific part of the symbolic names managed by the system. Specifically, a DNS server has correspondence tables between the symbolic names that it manages and corresponding IP addresses.
Lorsqu'un terminal client transmet une requête de fourniture de service DNS à un système DNS, pour obtenir une adresse IP à partir d'un nom symbolique, deux procédés différents peuvent être mis en œuvre par le système DNS du fait de sa structure hiérarchique.When a client terminal transmits a DNS service provision request to a DNS system, to obtain an IP address from a symbolic name, two Different processes can be implemented by the DNS system because of its hierarchical structure.
Selon un premier procédé, que l'on appellera par la suite "mode non récursif", un premier serveur DNS reçoit la requête. S'il n'est pas compétent pour y répondre, il renvoie au terminal client une réponse dans laquelle il fournit l'adresse IP d'un deuxième serveur du système DNS susceptible de répondre à cette requête. Le terminal client renvoie donc sa requête au deuxième serveur DNS qui peut lui aussi, s'il n'est pas compétent pour y répondre, fournir l'adresse IP d'un troisième serveur du système DNS. Le terminal client renouvelle sa requête autant de fois que nécessaire pour parvenir à atteindre le serveur DNS compétent pour y répondre.According to a first method, which will be called "non-recursive mode" thereafter, a first DNS server receives the request. If it is not competent to answer, it sends back to the client terminal a response in which it provides the IP address of a second server DNS system likely to respond to this request. The client terminal therefore sends its request to the second DNS server which can also, if it is not competent to answer, provide the IP address of a third DNS server. The client terminal renews its request as many times as necessary to reach the competent DNS server to respond.
Selon un second procédé, que l'on appellera par la suite "mode récursif", un premier serveur DNS reçoit la requête. S'il n'est pas compétent pour y répondre, il transmet lui-même la requête à un deuxième serveur du système DNS. Si le deuxième serveur DNS n'est pas compétent pour y répondre non plus, il transmet lui-même la requête à un troisième serveur du système DNS. De façon récursive, les serveurs du système DNS transfèrent la requête émise par le terminal client autant de fois que nécessaire pour qu'elle parvienne à atteindre le serveur DNS compétent pour y répondre. La réponse fournie par le serveur compétent est ensuite transmise en sens inverse jusqu'à ce qu'elle parvienne au premier serveur DNS sollicité, qui la transmet à son tour au terminal client.According to a second method, which will be called "recursive mode" thereafter, a first DNS server receives the request. If he is not competent to answer, he himself transmits the request to a second DNS server. If the second DNS server is not competent to respond either, it itself transmits the request to a third DNS server. Recursively, the DNS servers transfer the request issued by the client terminal as many times as necessary so that it can reach the appropriate DNS server to respond. The response provided by the competent server is then transmitted in the opposite direction until it reaches the first requested DNS server, which in turn transmits it to the client terminal.
On remarque que selon le mode récursif de traitement de la requête DNS, une unique requête émise à partir du terminal client provoque la génération d'une pluralité de requêtes transmises d'un serveur à l'autre du système DNS.Note that according to the recursive mode of processing the DNS request, a single request issued from the client terminal causes the generation of a plurality of requests transmitted from one server to another DNS system.
Une attaque de déni de service DNS consiste à générer une requête de fourniture de service DNS frauduleuse, c'est-à-dire une requête dont la forme reproduit la forme des requêtes de fourniture de service DNS, mais qui n'est pas motivée par l'obtention d'un service DNS. Il existe deux procédés connus pour générer une telle requête frauduleuse.A DNS denial of service attack consists in generating a fraudulent DNS service provisioning request, that is to say a request whose form reproduces the form of the DNS service provisioning requests, but which is not motivated by obtaining a DNS service. There are two known methods for generating such a fraudulent request.
Un premier procédé, appelé "attaque simple", consiste à émettre, depuis un terminal client une requête frauduleuse dans laquelle l'adresse source n'est pas celle du terminal client mais celle d'un serveur que l'utilisateur du terminal client souhaite attaquer.A first method, called "simple attack", consists in sending, from a client terminal, a fraudulent request in which the source address is not that of the client terminal but that of a server that the user of the client terminal wishes to attack. .
Ainsi, tout se passe comme si l'émetteur de la requête était en fait le serveur attaqué. Le système DNS renverra donc sa réponse au serveur attaqué, quel que soit son mode de fonctionnement (récursif ou non récursif) puisque c'est l'adresse IP du serveur qui est inscrite dans l'adresse source de la requête. On notera qu'il est indifférent que l'adresse demandée dans la requête existe ou non. Celle-ci peut être totalement farfelue. Un second procédé, appelé "attaque récursive", consiste à émettre depuis un terminal client une requête frauduleuse dans laquelle l'adresse demandée est un nom symbolique géré par un serveur DNS que l'utilisateur du terminal client souhaite attaquer. Ce type d'attaque exploite le mode récursif du système DNS. En effet, le terminal client transmet cette requête à n'importe lequel des serveurs du système DNS, mais celle-ci parviendra au serveur DNS attaqué sans autre intervention du terminal client. On notera qu'il est indifférent que l'adresse source dans la requête soit celle de l'émetteur ou non. Celle-ci peut être totalement farfelue, mais elle peut également correspondre à celle de l'émetteur, cela ne l'empêche pas de nuire. Dans la pratique, un utilisateur malveillant envoie depuis son terminal client un grand nombre de requêtes de fourniture de service DNS frauduleuses, de manière que le serveur attaqué reçoive un très grand nombre de messages (des requêtes dans le cas d'attaques récursives, des réponses dans le cas d'attaques simples). Ceci a pour effet de rendre le serveur attaqué incapable de fournir le service pour lequel il est programmé. On remarquera que les attaques simples visent tous types de serveurs alors que les attaques récursives visent exclusivement des serveurs DNS.So, everything happens as if the sender of the request was actually the attacked server. The DNS system will therefore return its response to the attacked server, regardless of its operating mode (recursive or non-recursive) since it is the IP address of the server that is registered in the source address of the request. Note that it is irrelevant whether the address requested in the request exists or not. This one can be totally crazy. A second method, called a "recursive attack", consists of transmitting from a client terminal a fraudulent request in which the requested address is a symbolic name managed by a DNS server that the user of the client terminal wishes to attack. This type of attack exploits the recursive mode of the DNS system. Indeed, the client terminal transmits this request to any of the servers of the DNS system, but it will reach the attacked DNS server without further intervention of the client terminal. Note that it is irrelevant whether the source address in the request is that of the issuer or not. It can be totally wacky, but it can also match that of the transmitter, it does not stop to harm. In practice, a malicious user sends from his client terminal a large number of fraudulent DNS service provisioning requests, so that the attacked server receives a very large number of messages (requests in the case of recursive attacks, responses in the case of simple attacks). This has the effect of making the attacked server unable to provide the service for which it is programmed. Note that simple attacks target all types of servers while recursive attacks exclusively target DNS servers.
Une première solution pour protéger un serveur contre de telles attaques de déni de service DNS, consiste à créer des listes de contrôle d'accès, ces listes de contrôle d'accès définissant de façon exhaustive des terminaux clients autorisés à transmettre des requêtes de fourniture de service DNS à des serveurs DNS spécifiques. Ainsi, si une requête, destinée à un serveur DNS, est émise à partir d'un terminal client qui n'appartient pas à la liste de contrôle d'accès de ce serveur DNS, elle n'est pas traitée.A first solution for protecting a server against such DNS denial of service attacks is to create access control lists, these access control lists comprehensively defining client terminals authorized to transmit requests for provision of services. DNS service to specific DNS servers. Thus, if a request to a DNS server is issued from a client terminal that does not belong to the access control list of this DNS server, it is not processed.
Dans le cas d'attaques récursives, les requêtes peuvent avoir toutes les apparences de requêtes normales, puisque l'adresse source de la requête peut effectivement être l'adresse de l'émetteur et que l'adresse demandée n'est pas une adresse farfelue. Dans ce cas, cette solution peut avoir une certaine efficacité. Mais elle est très facile à contourner si l'on connaît au moins une adresse IP d'un terminal client autorisé à interroger le serveur DNS que l'on souhaite attaquer. Dans ce cas, il suffit d'inscrire cette adresse IP dans l'adresse source des requêtes frauduleuses.In the case of recursive attacks, the queries can have all the appearance of normal queries, since the source address of the request can actually be the address of the sender and the requested address is not a wacky address. . In this case, this solution may have some efficiency. But it is very easy to circumvent if we know at least one IP address of a client terminal authorized to query the DNS server that we want to attack. In this case, simply enter this IP address in the source address of fraudulent requests.
De même, dans le cas d'attaques simples, il suffit que l'on connaisse un serveur DNS qui comporte dans sa liste de contrôle d'accès l'adresse IP du serveur que l'on souhaite attaquer. On inscrit alors un nom symbolique géré par ce serveur DNS dans l'adresse demandée des requêtes frauduleuses. Une deuxième solution, uniquement pour contrer les attaques récursives, est de supprimer ce mode de fonctionnement d'un système DNS. Evidemment, cette solution -A-Similarly, in the case of simple attacks, it is sufficient that we know a DNS server that has in its access control list the IP address of the server that you want to attack. A symbolic name managed by this DNS server is then entered in the requested address of the fraudulent requests. A second solution, only to counter recursive attacks, is to remove this mode of operation of a DNS system. Obviously, this solution -AT-
n'a aucun impact sur les attaques simples. De plus, elle pénalise l'ensemble des utilisateurs du système DNS pour lequel ce mode de fonctionnement est supprimé, en empêchant celui-ci de fonctionner selon le mode récursif.has no impact on simple attacks. Moreover, it penalizes all the users of the DNS system for which this mode of operation is suppressed, preventing it from functioning in the recursive mode.
Enfin, une autre solution pour protéger un serveur contre des attaques de déni de service DNS, de type réactif, consiste à dévier toutes les requêtes à destination d'un serveur attaqué, dès que l'on a détecté que ce serveur était attaqué, vers un autre serveur généralement appelé "trou noir", de façon que ce soit le trou noir qui reçoive toutes les attaques plutôt que le serveur lui-même. La fonction du trou noir est de recevoir les données et de les détruire sans les traiter. Cependant, cette solution ne fait pas la distinction entre les différentes données transmises au serveur attaqué. De plus, dans ce cas, on peut considérer que l'attaque a réellement fonctionné puisque le serveur n'est plus capable de fournir le service pour lequel il est programmé.Finally, another solution to protect a server against DNS denial of service attacks, reactive type, is to divert all requests to an attacked server, as soon as it was detected that this server was attacked, to another server usually called "black hole", so that it is the black hole that receives all the attacks rather than the server itself. The function of the black hole is to receive the data and destroy it without processing it. However, this solution does not distinguish between the different data transmitted to the attacked server. Moreover, in this case, it can be considered that the attack actually worked because the server is no longer able to provide the service for which it is programmed.
L'invention vise à améliorer les procédés existants de protection d'un serveur contre des attaques de déni de service DNS en fournissant un procédé capable de protéger un serveur contre de telles attaques et qui permette de trier les données transmises à un serveur attaqué pour que celles qui ne sont pas impliquées dans ces attaques puissent être traitées de sorte que le fonctionnement du serveur attaqué soit le moins perturbé possible. L'invention a donc pour objet un procédé de protection d'un serveur contre des attaques de déni de service DNS, dans lequel :The aim of the invention is to improve the existing methods of protecting a server against DNS denial of service attacks by providing a method capable of protecting a server against such attacks and which makes it possible to sort the data transmitted to an attacked server so that those who are not involved in these attacks can be treated so that the operation of the attacked server is as undisturbed as possible. The invention therefore relates to a method for protecting a server against DNS denial of service attacks, in which:
- on détecte des attaques de déni de service DNS visant le serveur ;- DNS denial of service attacks on the server are detected;
- un équipement intermédiaire intercepte des paquets de données à destination du serveur ; caractérisé en ce que : l'équipement intermédiaire analyse les paquets de données interceptés ;- intermediate equipment intercepts data packets to the server; characterized in that: the intermediate equipment analyzes the intercepted data packets;
- pour chaque paquet de données intercepté, si un critère prédéterminé par l'équipement intermédiaire est vérifié suite à l'analyse de ce paquet de données, l'équipement intermédiaire interrompt la transmission de ce paquet de données vers le serveur.for each intercepted data packet, if a criterion predetermined by the intermediate equipment is verified following the analysis of this data packet, the intermediate equipment interrupts the transmission of this data packet to the server.
Ainsi, les requêtes et/ou les réponses à des requêtes de type DNS, relatives à un serveur qui est attaqué sont déviées vers un équipement intermédiaire qui comporte ses propres critères de tri des paquets de données destinés au serveur attaqué. Ce système de filtre, implémenté dans un équipement intermédiaire différent du serveur attaqué permet à ce dernier de continuer à fournir le service pour lequel il est programmé sans ressentir les effets nuisibles des attaques. Un procédé de protection d'un serveur selon l'invention peut en outre comporter l'une ou plusieurs des caractéristiques suivantes :Thus, requests and / or responses to requests of the DNS type, relating to a server that is attacked, are diverted to an intermediate device that has its own criteria for sorting the data packets intended for the attacked server. This filter system, implemented in an intermediate device different from the attacked server allows the latter to continue to provide the service for which it is programmed without feeling the harmful effects of the attacks. A method of protecting a server according to the invention may further include one or more of the following features:
- le critère prédéterminé est lié à l'émetteur du paquet intercepté ;the predetermined criterion is linked to the emitter of the intercepted packet;
- le critère prédéterminé est lié à une adresse demandée dans le paquet intercepté, si celui-ci concerne une requête de fourniture de service DNS ;the predetermined criterion is linked to a requested address in the intercepted packet, if it concerns a request for DNS service provisioning;
- le critère prédéterminé est lié à l'absence d'un numéro de transaction du paquet intercepté dans une liste de numéros de transaction de requêtes émises par le serveur, cette liste étant tenue à jour par l'équipement intermédiaire ; - lors de l'étape de détection des attaques de déni de service DNS :the predetermined criterion is linked to the absence of a transaction number of the intercepted packet in a list of request transaction numbers issued by the server, this list being maintained by the intermediate equipment; - during the detection step of DNS denial of service attacks:
• on détecte un trafic anormal à destination du serveur, notamment un trafic anormal utilisant le protocole UDP (de l'anglais User Datagram Protocol) ;• abnormal traffic is detected to the server, including abnormal traffic using the UDP (User Datagram Protocol);
• on extrait un numéro de port source contenu dans des paquets de données interceptés ;• extracting a source port number contained in intercepted data packets;
• on détermine la nature du protocole utilisé au niveau de la couche application dans les paquets de données interceptés ;• the nature of the protocol used at the application layer in the intercepted data packets is determined;
- lors de l'étape de détection des attaques de déni de service DNS on extrait un numéro de port destination contenu dans les paquets de données interceptés ;in the step of detecting DNS denial of service attacks, a destination port number contained in the intercepted data packets is extracted;
L'invention a également pour objet un dispositif de protection d'un serveur contre des attaques de déni de service DNS, comportant des moyens d'interception de paquets de données à destination du serveur, caractérisé en ce qu'il comporte en outre :The subject of the invention is also a device for protecting a server against DNS denial of service attacks, comprising means for intercepting data packets destined for the server, characterized in that it furthermore comprises:
- des moyens d'analyse des paquets de données interceptés ; - des moyens d'interruption de la transmission vers le serveur d'un paquet de données parmi les paquets de données interceptés, si un critère prédéterminé par le dispositif de protection est vérifié suite à l'analyse de ce paquet de données.means for analyzing the intercepted data packets; means for interrupting the transmission to the server of a data packet among the intercepted data packets, if a criterion predetermined by the protection device is verified following the analysis of this data packet.
Enfin l'invention a également pour objet un système de protection d'un serveur contre des attaques de déni de service DNS, comportant un serveur susceptible d'être attaqué par un client, caractérisé en ce qu'il comporte un équipement intermédiaire formé par un dispositif de protection tel que décrit précédemment.Finally, the invention also relates to a system for protecting a server against DNS denial of service attacks, comprising a server that may be attacked by a client, characterized in that it comprises an intermediate device formed by a protection device as described above.
Un système de protection d'un serveur selon l'invention peut en outre comporter la caractéristique selon laquelle l'équipement intermédiaire est un pare-feu disposé entre le serveur et un réseau d'accès du client au serveur. L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple et faite en se référant aux dessins annexés dans lesquels :A protection system of a server according to the invention may further include the feature that the intermediate equipment is a firewall disposed between the server and a client access network to the server. The invention will be better understood on reading the description which follows, given solely by way of example and with reference to the appended drawings in which:
- la figure 1 représente schématiquement la structure générale d'une installation comportant un système selon un mode de réalisation possible de l'invention ; et- Figure 1 shows schematically the general structure of an installation comprising a system according to a possible embodiment of the invention; and
- la figure 2 illustre les étapes successives d'un procédé de protection d'un serveur selon un mode de réalisation possible de l'invention.FIG. 2 illustrates the successive steps of a method for protecting a server according to a possible embodiment of the invention.
L'installation représentée sur la figure 1 comporte un premier serveur 10 adapté pour la fourniture d'un service prédéterminé auprès de différents clients.The installation represented in FIG. 1 comprises a first server 10 adapted for the provision of a predetermined service to different clients.
Par exemple, ce serveur 10 est un serveur DNS appartenant à un ensemble de serveurs d'un système DNS. De façon alternative, le serveur 10 peut être un serveur quelconque adapté pour la fourniture d'un service quelconque.For example, this server 10 is a DNS server belonging to a set of servers of a DNS system. Alternatively, the server 10 may be any server suitable for providing any service.
Le serveur 10 est connecté à un réseau à haut débit 12, par exemple une liaison ADSL, elle-même reliée à un réseau 14 d'opérateur. Un équipement intermédiaire 16 peut être disposé à l'interface du réseau 14 d'opérateur et du réseau à haut débit ADSL. Cet équipement intermédiaire 16 est par exemple un pare-feu.The server 10 is connected to a high-speed network 12, for example an ADSL link, itself connected to an operator network 14. Intermediate equipment 16 may be disposed at the interface of the operator network 14 and the ADSL broadband network. This intermediate equipment 16 is for example a firewall.
L'installation comporte un deuxième serveur 18 également adapté pour fournir un service prédéterminé auprès de différents clients. Ce serveur 18, de même que le serveur 10, peut être un serveur DNS ou tout autre type de serveurs. Il est connecté à un réseau local privé 20, lui-même relié au réseau 14 d'opérateur. Un équipement intermédiaire 22, ainsi qu'un routeur 24, peuvent être disposés à l'interface du réseau d'opérateur 14 et du réseau à haut débit 12. L'équipement intermédiaire 22 est par exemple un pare-feu, comme l'équipement intermédiaire 16.The installation includes a second server 18 also adapted to provide a predetermined service to different customers. This server 18, as well as the server 10, can be a DNS server or any other type of server. It is connected to a private local area network 20, itself connected to the operator network 14. Intermediate equipment 22, as well as a router 24, can be arranged at the interface of the operator network 14 and the high-speed network 12. The intermediate equipment 22 is for example a firewall, such as the equipment intermediate 16.
L'installation représentée sur la figure 1 comporte en outre un premier terminal client 26 susceptible de requérir la fourniture d'un service de la part du serveur 10 ou du serveur 18. Ce terminal client 26 est connecté à un réseau à haut débit 28, par exemple identique au réseau à haut débit 12, c'est-à-dire une liaison ADSL. Ce réseau à haut débit 28 est lui-même connecté au réseau d'opérateur 14 via un équipement intermédiaire 30, tel qu'un pare-feu.The installation represented in FIG. 1 further comprises a first client terminal 26 capable of requiring the provision of a service on the part of the server 10 or the server 18. This client terminal 26 is connected to a high-speed network 28, for example identical to the high-speed network 12, that is to say an ADSL link. This high-speed network 28 is itself connected to the operator network 14 via intermediate equipment 30, such as a firewall.
Enfin, l'installation comporte un second terminal client 32, lui aussi susceptible de requérir la fourniture d'un service de la part du serveur 10 ou du serveur 18. Il est connecté à un réseau 34 de transmission de données en mode paquets, tel que le réseau Internet. Le réseau Internet 34 est lui-même connecté au réseau d'opérateur 14 par l'intermédiaire d'un routeur 36 directement relié à une plate-forme de commande 38 et à un équipement intermédiaire 40. L'équipement intermédiaire 40 est par exemple un pare- feu, comme les équipements intermédiaires 16, 22 et 30.Finally, the installation comprises a second client terminal 32, also likely to require the provision of a service from the server 10 or the server 18. It is connected to a packet data transmission network 34, such as than the Internet. The Internet network 34 is itself connected to the operator network 14 via a router 36 directly connected to a control platform 38 and to intermediate equipment 40. Intermediate equipment 40 is for example a firewall, such as intermediate equipment 16, 22 and 30.
L'ensemble des équipements intermédiaires 16, 22, 30 et 40 est géré par un système 42 classique sous le contrôle de l'opérateur du réseau d'opérateur 14. Le procédé de protection d'un serveur contre des attaques de déni de serviceThe set of intermediate equipment 16, 22, 30 and 40 is managed by a conventional system 42 under the control of the operator of the operator network 14. The method of protecting a server against denial of service attacks
DNS représenté sur la figure 2 comporte une première étape 100 de détection d'une anomalie.DNS shown in Figure 2 comprises a first step 100 of detecting an anomaly.
Lors de cette étape 100 de détection d'une anomalie, l'un des éléments de l'installation de la figure 1 détecte un trafic anormal à destination du serveur 10 ou 18. Cette détection est par exemple réalisée par l'équipement intermédiaire 16 (pour le serveur 10) ou l'équipement intermédiaire 22 (pour le serveur 18).During this step 100 of detection of an anomaly, one of the elements of the installation of FIG. 1 detects an abnormal traffic towards the server 10 or 18. This detection is for example carried out by the intermediate equipment 16 ( for the server 10) or the intermediate equipment 22 (for the server 18).
Le trafic lié aux requêtes de fourniture de service DNS et aux réponses correspondantes est un trafic transmis selon le protocole UDP qui normalement représente moins de 10% du trafic global d'un réseau de transmission de données en mode paquets. La détection d'un trafic anormal peut donc consister en la détection d'une quantité anormale de paquets UDP transitant à destination du serveur 10 ou 18, c'est-à- dire supérieure à un seuil prédéterminé.The traffic related to the DNS service provisioning requests and the corresponding responses is UDP-transmitted traffic which normally represents less than 10% of the overall traffic of a packet data network. The detection of an abnormal traffic may therefore consist in the detection of an abnormal quantity of UDP packets going to the server 10 or 18, that is to say greater than a predetermined threshold.
Lors de l'étape 102 d'alerte suivante, le système de gestion 42 est informé de cette anomalie par l'équipement intermédiaire 16 ou 22. Puis, lors d'une étape 104 de vérification, l'équipement intermédiaire 16 ou 22 ayant détecté l'anomalie, ou bien le serveur 10 ou 18 éventuellement attaqué analyse la nature des paquets susceptibles de participer à des attaques de déni de service DNS. Cette étape de vérification a pour fonction de déterminer si les paquets concernent effectivement la fourniture d'un service DNS. Ensuite, lors d'une étape de test 106, on décide, à la lumière des résultats des étapes 100 et 104 si le serveur concerné est effectivement victime d'attaques de déni de service DNS. C'est par exemple le cas si le nombre de paquets UDP est supérieur au seuil prédéterminé et si ces paquets concernent effectivement un service DNS.During the next alert step 102, the management system 42 is informed of this anomaly by the intermediate equipment 16 or 22. Then, during a verification step 104, the intermediate equipment 16 or 22 having detected the anomaly, or the possibly attacked server 10 or 18 analyzes the nature of the packets likely to participate in DNS denial of service attacks. The purpose of this verification step is to determine whether the packets actually relate to the provision of a DNS service. Then, during a test step 106, it is decided, in light of the results of steps 100 and 104 if the server concerned is indeed a victim of DNS denial of service attacks. This is for example the case if the number of UDP packets is greater than the predetermined threshold and if these packets actually concern a DNS service.
Si ce n'est pas le cas, on passe à une étape 108 de fin de procédé. Sinon, on passe à une étape 110 de protection du serveur attaqué. Lors de cette étape, le système de gestion dévie tout le trafic à destination du serveur considéré comme attaqué vers un équipement intermédiaire de l'installation. Cet équipement intermédiaire peut être, selon les cas, l'équipement intermédiaire 16, 22, 30 ou 40.If this is not the case, we go to a step 108 end of the process. Otherwise, we go to a step 110 of protection of the attacked server. During this step, the management system deviates all the traffic destined for the server considered as being attacked to an intermediate device of the installation. This intermediate equipment may be, depending on the case, the intermediate equipment 16, 22, 30 or 40.
Ensuite, dès que l'équipement intermédiaire vers lequel sont déviées les données destinées au serveur attaqué reçoit un paquet de données à destination du serveur attaqué, on passe à une étape 112 d'analyse du contenu de ce paquet. Selon les cas, cette analyse peut conduire à déterminer un numéro de transaction spécifique auquel est associé ce paquet, l'adresse source et/ou l'émetteur réel de ce paquet, et éventuellement, si ce paquet concerne une requête DNS, l'adresse demandée dans cette requête. On passe ensuite à une étape de test 114. Lors de cette étape, l'équipement intermédiaire vérifie si un critère qu'il a prédéterminé est rempli, sur la base des informations issues de l'analyse de l'étape 112. Ce critère sera détaillé par la suite, en fonction de différentes configurations possibles d'attaques.Then, as soon as the intermediate equipment to which the data destined for the attacked server is diverted receives a data packet destined for the attacked server, a step 112 of analysis of the content of this packet is carried out. According to case, this analysis can lead to determine a specific transaction number which is associated with this packet, the source address and / or the actual transmitter of this packet, and possibly, if this packet concerns a DNS request, the address requested in this request. We then go to a test step 114. In this step, the intermediate equipment checks whether a criterion it has predetermined is filled, based on the information from the analysis of step 112. This criterion will be detailed later, according to different possible configurations of attacks.
Si le critère prédéterminé est vérifié pour ce paquet, on passe à une étape 116 d'interruption de la transmission de ce paquet à destination du serveur attaqué. Dans la pratique, ce paquet peut être supprimé par l'équipement intermédiaire. Sinon, on passe à une étape 118 de transmission de ce paquet au serveur attaqué.If the predetermined criterion is checked for this packet, we go to a step 116 of interruption of the transmission of this packet to the attacked server. In practice, this package can be deleted by the intermediate equipment. Otherwise, we go to a step 118 of transmission of this packet to the attacked server.
Suite aux étapes 116 et 118, on passe à une étape de test 120 lors de laquelle l'équipement intermédiaire vérifie s'il a reçu un nouveau paquet de données destiné au serveur attaqué. Dans ce cas, on revient à l'étape 112. Sinon, on passe à une étape 122 de fin de procédé.Following steps 116 and 118, a test step 120 is made in which the intermediate equipment checks whether it has received a new data packet for the attacked server. In this case, we return to step 112. Otherwise, we go to a step 122 end of the process.
Ce procédé de réaction à des attaques de déni de service DNS, décrit précédemment de façon assez générale, ne s'applique pas obligatoirement dans toutes les configurations d'attaques auxquelles peut être confrontée l'installation, et peut comporter certaines variations selon les configurations.This method of reaction to DNS denial of service attacks, described previously in a rather general way, does not necessarily apply in all attack configurations that may be faced by the installation, and may include certain variations depending on the configurations.
Notamment, il convient de distinguer les configurations d'attaques simples des configurations d'attaques récursives.In particular, it is important to distinguish between simple attack configurations and recursive attack configurations.
En outre, il convient de distinguer les configurations d'attaques émises à partir d'un terminal client relié au serveur qu'il souhaite attaquer par l'intermédiaire d'un réseau de transmission de données sur lequel le système de gestion 42 du réseau d'opérateur 14 a une complète visibilité, des configurations d'attaques émises à partir d'un terminal client relié au serveur qu'il souhaite attaquer par l'intermédiaire d'un réseau de transmission de données sur lequel le système de gestion 42 du réseau d'opérateur 14 n'a pas une complète visibilité. Par exemple dans le cas de la figure 1 , le terminal client 26 est relié :In addition, it is necessary to distinguish the attack configurations emitted from a client terminal connected to the server that it wishes to attack via a data transmission network on which the management system 42 of the network of data. operator 14 has full visibility, attack configurations issued from a client terminal connected to the server that it wishes to attack via a data transmission network on which the network management system 42 Operator 14 does not have full visibility. For example in the case of Figure 1, the client terminal 26 is connected:
- au serveur 10 par l'intermédiaire du réseau à haut débit 28, du réseau d'opérateur 14 et du réseau à haut débit 12, etthe server 10 via the high-speed network 28, the operator network 14 and the high-speed network 12, and
- au serveur 18 par l'intermédiaire du réseau à haut débit 28, du réseau d'opérateur 14 et du réseau local privé 20. II est donc relié aux serveurs 10 et 18 par l'intermédiaire d'un réseau de transmission de données sur lequel le système de gestion 42 a une complète visibilité. En revanche, le terminal client 32 est relié :the server 18 via the high-speed network 28, the operator network 14 and the private local network 20. It is therefore connected to the servers 10 and 18 via a data transmission network on which the management system 42 has full visibility. On the other hand, the client terminal 32 is connected:
- au serveur 10 par l'intermédiaire du réseau Internet 34, du réseau d'opérateur 14 et du réseau à haut débit 12, etthe server 10 via the Internet network 34, the operator network 14 and the high-speed network 12, and
- au serveur 18 par l'intermédiaire du réseau Internet 34, du réseau d'opérateur 14 et du réseau local privé 20.to the server 18 via the Internet network 34, the operator network 14 and the private local network 20.
Il est donc relié aux serveurs 10 et 18 par l'intermédiaire d'un réseau de transmission de données sur lequel le système de gestion 42 n'a pas une complète visibilité, à cause du réseau Internet 34.It is therefore connected to the servers 10 and 18 via a data transmission network on which the management system 42 does not have full visibility, because of the Internet 34.
Il est donc possible de distinguer quatre configurations d'attaques de déni de service DNS :It is therefore possible to distinguish four configurations of DNS denial of service attacks:
- première configuration : le terminal client est relié au serveur par l'intermédiaire d'un réseau sur lequel le système de gestion 42 a une visibilité complète, et les attaques de déni de service DNS sont simples ;- First configuration: the client terminal is connected to the server via a network on which the management system 42 has full visibility, and DNS denial of service attacks are simple;
- deuxième configuration : le terminal client est relié au serveur par l'intermédiaire d'un réseau sur lequel le système de gestion 42 a une visibilité complète, et les attaques de déni de service DNS sont récursives ;- Second configuration: the client terminal is connected to the server via a network on which the management system 42 has full visibility, and DNS denial of service attacks are recursive;
- troisième configuration : le terminal client est relié au serveur par l'intermédiaire d'un réseau sur lequel le système de gestion 42 n'a pas une visibilité complète, et les attaques de déni de service DNS sont simples ; etthird configuration: the client terminal is connected to the server via a network on which the management system 42 does not have full visibility, and DNS denial of service attacks are simple; and
- quatrième configuration : le terminal client est relié au serveur par l'intermédiaire d'un réseau sur lequel le système de gestion 42 n'a pas une visibilité complète, et les attaques de déni de service DNS sont récursives. Dans la première configuration d'attaques, le procédé selon l'invention ne s'applique pas, puisqu'à chaque émission d'une requête de fourniture de service DNS l'installation est capable de vérifier d'elle-même que l'adresse source indiquée dans cette requête correspond bien à l'adresse IP de son émetteur. Cette vérification est réalisée par un serveur, connu sous le nom de serveur BRAS (de l'anglais "BRoadband Access Server"), disposé notamment dans le réseau à haut débit 28 et aux données duquel le système de gestion 42 de l'opérateur a accès.fourth configuration: the client terminal is connected to the server via a network on which the management system 42 does not have full visibility, and DNS denial of service attacks are recursive. In the first configuration of attacks, the method according to the invention does not apply, since at each transmission of a request for DNS service provision the installation is able to check itself that the address source indicated in this request corresponds to the IP address of its issuer. This verification is carried out by a server, known as the BRAS ("BRoadband Access Server") server, located in particular in the high-speed network 28 and the data of which the operator's management system 42 has access.
Dans la deuxième configuration d'attaques, on applique le procédé précédemment décrit en référence à la figure 2.In the second attack configuration, the previously described method is applied with reference to FIG.
De façon plus précise, lors de l'étape 104, on vérifie pour chaque paquet de données destiné au serveur éventuellement attaqué et intercepté par l'équipement intermédiaire : - le numéro de port source ;More precisely, during step 104, for each data packet destined for the server possibly attacked and intercepted by the intermediate equipment, it is checked: - the source port number;
- le numéro de port destination ;- the destination port number;
- la nature du protocole utilisé au niveau de la couche application.- the nature of the protocol used at the application layer.
Lors de l'étape 106 de test suivante, si le numéro de port source et le numéro de port destination ont tous les deux la valeur 53, qui est la valeur de port utilisée pour Ia transmission de paquets relatifs à des services DNS, et si le protocole utilisé au niveau de la couche application est identifié comme étant le protocole DNS, alors on décide que le serveur visé est bien victime d'attaques de déni de service DNS. Puisqu'on est dans une configuration d'attaques récursives, les paquets participant à ces attaques concernent des requêtes frauduleuses de fourniture de service DNS.In the next test step 106, if both the source port number and the destination port number are 53, which is the port value used for forwarding packets for DNS services, and if the protocol used at the application layer level is identified as the DNS protocol, so it is decided that the target server is the victim of DNS denial of service attacks. Since we are in a configuration of recursive attacks, the packets participating in these attacks involve fraudulent requests for DNS service provisioning.
Les étapes 104 et 106 sont exécutées par l'équipement intermédiaire 16 si le serveur attaqué est le serveur 10 et par l'équipement intermédiaire 22 si le serveur attaqué et le serveur 18.Steps 104 and 106 are executed by the intermediate equipment 16 if the attacked server is the server 10 and by the intermediate equipment 22 if the attacked server and the server 18.
Dans cette deuxième configuration d'attaques également, l'équipement intermédiaire ayant procédé à l'étape de vérification 104 et à l'étape de test 106 identifie l'émetteur des requêtes frauduleuses DNS et éventuellement l'adresse demandée dans ces requêtes, puis transmet ces données au système de gestion 42. Cet émetteur et cette adresse demandée sont donc fichés par le système de gestion 42In this second configuration of attacks also, the intermediate equipment having carried out the verification step 104 and the test step 106 identifies the issuer of the fraudulent DNS queries and possibly the requested address in these requests, and then transmits these data to the management system 42. This issuer and this requested address are therefore filed by the management system 42
Dans ce cas, le critère prédéterminé utilisé par l'équipement intermédiaire lors de l'étape de test 114 pour interrompre la transmission d'un paquet de données destiné au serveur attaqué est lié à l'identité de l'émetteur du paquet intercepté et éventuellement à l'adresse demandée faisant l'objet de la requête. Si le paquet intercepté est émis par l'émetteur fiché par le système de gestion 42 et éventuellement s'il concerne l'adresse demandée fichée par Ie système de gestion 42, la transmission de ce paquet de données est interrompue. Sinon, il parvient à son destinataire.In this case, the predetermined criterion used by the intermediate equipment during the test step 114 to interrupt the transmission of a data packet for the attacked server is linked to the identity of the sender of the intercepted packet and possibly to the requested address which is the subject of the request. If the intercepted packet is sent by the transmitter stored by the management system 42 and possibly if it concerns the requested address stored by the management system 42, the transmission of this packet of data is interrupted. Otherwise, it reaches the recipient.
Dans la troisième configuration d'attaques, on applique le procédé précédemment décrit en référence à la figure 2.In the third configuration of attacks, the method described above is applied with reference to FIG.
De façon plus précise, lors de l'étape 104, on vérifie pour chaque paquet de données destiné au serveur éventuellement attaqué et intercepté par l'équipement intermédiaire :More precisely, during step 104, for each data packet destined for the server possibly attacked and intercepted by the intermediate equipment, it is checked:
- le numéro de port source ;- the source port number;
- Ia nature du protocole utilisé au niveau de la couche application.- The nature of the protocol used at the application layer.
Lors de l'étape 106 de test suivante, si le numéro de port source a la valeur 53 et si le protocole utilisé au niveau de la couche application est identifié comme étant Ie protocole DNS, alors on décide que Ie serveur visé est bien victime d'attaques de déni de service DNS. Puisqu'on est dans une configuration d'attaques simples, les paquets participant à ces attaques concernent des réponses à des requêtes frauduleuses de fourniture de service DNS.In the next test step 106, if the source port number is set to 53 and if the protocol used at the application layer is identified as the DNS protocol, then it is decided that the target server is the victim of the problem. DNS denial of service attacks. Since we are in a configuration of simple attacks, the packets participating in these attacks involve responses to fraudulent requests for DNS service provision.
Les étapes 104 et 106 sont exécutées par l'équipement intermédiaire 16 si le serveur attaqué est le serveur 10 et par l'équipement intermédiaire 22 si le serveur attaqué et le serveur 18.Steps 104 and 106 are executed by the intermediate equipment 16 if the attacked server is the server 10 and by the intermediate equipment 22 if the attacked server and the server 18.
Dans cette troisième configuration d'attaques également, l'équipement intermédiaire ayant procédé à l'étape de vérification 104 et à l'étape de test 106 identifie les numéros de transaction de chaque requête DNS émise par le serveur attaqué et transmet ces numéros de transaction au système de gestion 42 qui gère une liste de numéros de transaction de requêtes émises par le serveur attaqué.In this third configuration of attacks also, the intermediate equipment having carried out the verification step 104 and the test step 106 identifies the transaction numbers of each DNS request sent by the attacked server and transmits these transaction numbers. the management system 42 which manages a list of transaction numbers of requests issued by the attacked server.
Les numéros de transaction de cette liste correspondent à des numéros de requêtes légitimes émises par le serveur attaqué.The transaction numbers in this list correspond to legitimate request numbers issued by the attacked server.
La liste est mémorisée et tenue à jour par le système de gestion ou l'équipement intermédiaire. Ainsi, cette liste évolue en fonction des requêtes légitimes émises par le serveur.The list is stored and maintained by the management system or the intermediate equipment. Thus, this list evolves according to the legitimate requests emitted by the server.
Dans ce cas, le critère prédéterminé utilisé par l'équipement intermédiaire lors de l'étape de test 114 pour interrompre la transmission d'un paquet de données destiné au serveur attaqué est lié au numéro de transaction du paquet intercepté. Si le paquet intercepté a un numéro de transaction qui est dans la liste des numéros de transaction gérés par le système de gestion 42, il est transmis au serveur attaqué, puisqu'il s'agit alors d'une réponse légitime à une requête émise par ce dernier. Sinon la transmission de ce paquet de données est interrompue.In this case, the predetermined criterion used by the intermediate equipment during the test step 114 to interrupt the transmission of a data packet for the attacked server is related to the transaction number of the intercepted packet. If the intercepted packet has a transaction number that is in the list of transaction numbers managed by the management system 42, it is transmitted to the attacked server, since it is then a legitimate response to a request issued by this last. Otherwise the transmission of this data packet is interrupted.
Dans la quatrième configuration d'attaques, on applique le procédé précédemment décrit en référence à la figure 2.In the fourth configuration of attacks, the method described above is applied with reference to FIG.
De façon plus précise, lors de l'étape 104, on vérifie pour chaque paquet de données destiné au serveur éventuellement attaqué et intercepté par l'équipement intermédiaire :More precisely, during step 104, for each data packet destined for the server possibly attacked and intercepted by the intermediate equipment, it is checked:
- le numéro de port source ; - la nature du protocole utilisé au niveau de la couche application.- the source port number; - the nature of the protocol used at the application layer.
Lors de l'étape 106 de test suivante, si le numéro de port source a la valeur 53 et si le protocole utilisé au niveau de la couche application est identifié comme étant le protocole DNS, alors on décide que le serveur visé est bien victime d'attaques de déni de service DNS. Puisqu'on est dans une configuration d'attaques récursives, les paquets participant à ces attaques concernent des requêtes frauduleuses de fourniture de service DNS. Les étapes 104 et 106 sont exécutées par l'équipement intermédiaire 16 si le serveur attaqué est le serveur 10 et par l'équipement intermédiaire 22 si le serveur attaqué et le serveur 18.In the next test step 106, if the source port number is set to 53 and if the protocol used at the application layer is identified as the DNS protocol, then it is decided that the target server is the victim. DNS denial of service attacks. Since we are in a configuration of recursive attacks, the packets participating in these attacks involve fraudulent requests for DNS service provisioning. Steps 104 and 106 are executed by the intermediate equipment 16 if the attacked server is the server 10 and by the intermediate equipment 22 if the attacked server and the server 18.
Dans cette quatrième configuration d'attaques également, l'équipement intermédiaire ayant procédé à l'étape de vérification 104 et à l'étape de test 106 identifie l'adresse demandée dans les requêtes frauduleuses, puis transmet ces données au système de gestion 42. Cette adresse demandée, qui est une adresse gérée par le serveur attaqué, est donc fichée par le système de gestion 42.In this fourth configuration of attacks also, the intermediate equipment having carried out the verification step 104 and the test step 106 identifies the requested address in the fraudulent requests, then transmits these data to the management system 42. This requested address, which is an address managed by the attacked server, is therefore stored by the management system 42.
Dans ce cas, le critère prédéterminé utilisé par l'équipement intermédiaire lors de l'étape de test 114 pour interrompre la transmission d'un paquet de données destiné au serveur attaqué est lié à l'adresse demandée faisant l'objet de la requête du paquet intercepté. Si le paquet intercepté concerne l'adresse demandée fichée par le système de gestion 42, la transmission de ce paquet de données est interrompue. Sinon, il parvient à son destinataire. II apparaît clairement qu'un procédé de protection telle que décrit précédemment permet de protéger efficacement un serveur attaqué contre des attaques de déni de service DNS, sans pour autant neutraliser celui-ci. In this case, the predetermined criterion used by the intermediate equipment during the test step 114 to interrupt the transmission of a data packet intended for the attacked server is linked to the requested address which is the subject of the request of the intercepted packet. If the intercepted packet concerns the requested address stuck by the management system 42, the transmission of this data packet is interrupted. Otherwise, it reaches the recipient. It is clear that a protection method as described above effectively protects an attacked server against DNS denial of service attacks, without neutralizing it.

Claims

REVENDICATIONS
1. Procédé de protection d'un serveur (10, 18) contre des attaques de déni de service DNS, dans lequel : - on détecte (100, 102, 104) des attaques de déni de service DNS visant le serveur,A method of protecting a server (10, 18) against DNS denial of service attacks, wherein: - DNS denial of service attacks against the server are detected (100, 102, 104),
- on intercepte (110) les paquets de données à destination du serveur, caractérisé en ce que si un paquet intercepté a un numéro de transaction qui n'est pas dans une liste de numéros de transaction de requêtes émises par le serveur, alors on interrompt (116) la transmission de ce paquet de données vers le serveur.intercepting (110) the data packets destined for the server, characterized in that if an intercepted packet has a transaction number that is not in a list of request transaction numbers issued by the server, then one interrupts (116) transmitting this data packet to the server.
2. Procédé de protection d'un serveur (10, 18) selon la revendication 1 , dans lequel lors de l'étape (100, 102, 104) de détection des attaques de déni de service DNS :The method of protecting a server (10, 18) according to claim 1, wherein in the step (100, 102, 104) of detecting DNS denial of service attacks:
- on détecte (100) un trafic anormal à destination du serveur ;- it detects (100) abnormal traffic to the server;
- on extrait (104) un numéro de port source contenu dans des paquets de données interceptés ;extracting (104) a source port number contained in intercepted data packets;
- on détermine (104) la nature du protocole utilisé au niveau de la couche application dans les paquets de données interceptés.the nature of the protocol used at the application layer level in the intercepted data packets is determined (104).
3. Procédé de protection d'un serveur (10, 18) selon la revendication 2, dans lequel, lors de l'étape (100, 102, 104) de détection des attaques de déni de service DNS, on extrait (104) un numéro de port destination contenu dans les paquets de données interceptés.The method of protecting a server (10, 18) according to claim 2, wherein, in the step (100, 102, 104) of detecting DNS denial of service attacks, extracting (104) a destination port number contained in the intercepted data packets.
4. Dispositif (16, 22, 30, 40) de protection d'un serveur (10, 18) contre des attaques de déni de service DNS, comportant des moyens d'interception de paquets de données à destination du serveur, caractérisé en ce qu'il comporte en outre des moyens d'interruption de transmission d'un paquet de données intercepté vers le serveur si le paquet intercepté a un numéro de transaction qui n'est pas dans une liste de numéros de transaction de requêtes émises par le serveur.4. Device (16, 22, 30, 40) for protecting a server (10, 18) against DNS denial of service attacks, comprising means for intercepting data packets to the server, characterized in that it further comprises means for interrupting transmission of an intercepted data packet to the server if the intercepted packet has a transaction number which is not in a list of request transaction numbers issued by the server .
5. Système de protection d'un serveur (10, 18) contre des attaques de déni de service DNS, comportant un serveur susceptible d'être attaqué par un client (26, 32) et au moins un équipement intermédiaire (16, 22, 30, 40), caractérisé en ce l'équipement intermédiaire (16, 22, 30, 40) est formé par un dispositif de protection selon la revendication 4.A system for protecting a server (10, 18) against DNS denial of service attacks, comprising a server that may be attacked by a client (26, 32) and at least one intermediate device (16, 22, 30, 40), characterized in that the intermediate equipment (16, 22, 30, 40) is formed by a protective device according to claim 4.
6. Système de protection d'un serveur selon la revendication 5, comprenant des moyens (42) de gestion de la liste de numéros de transactions, les numéros de transaction étant transmis par chaque dispositif de protection selon la revendication 4. 6. Protection system of a server according to claim 5, comprising means (42) for managing the list of transaction numbers, the transaction numbers being transmitted by each protection device according to claim 4.
7. Système de protection d'un serveur selon la revendication 5 ou 6, dans lequel l'équipement intermédiaire (16, 22, 30, 40) est un pare-feu disposé entre le serveur (10, 18) et un réseau d'accès du client au serveur. A system for protecting a server according to claim 5 or 6, wherein the intermediate equipment (16, 22, 30, 40) is a firewall arranged between the server (10, 18) and a network of client access to the server.
EP05788637A 2004-07-09 2005-07-08 Method, device and system for protecting a server against dns denial-of-service attacks Withdrawn EP1774751A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0407705 2004-07-09
PCT/FR2005/001777 WO2006013292A1 (en) 2004-07-09 2005-07-08 Method, device and system for protecting a server against dns denial-of-service attacks

Publications (1)

Publication Number Publication Date
EP1774751A1 true EP1774751A1 (en) 2007-04-18

Family

ID=34950826

Family Applications (1)

Application Number Title Priority Date Filing Date
EP05788637A Withdrawn EP1774751A1 (en) 2004-07-09 2005-07-08 Method, device and system for protecting a server against dns denial-of-service attacks

Country Status (3)

Country Link
US (1) US20080028073A1 (en)
EP (1) EP1774751A1 (en)
WO (1) WO2006013292A1 (en)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
US7970878B1 (en) * 2005-11-16 2011-06-28 Cisco Technology, Inc. Method and apparatus for limiting domain name server transaction bandwidth
WO2008084729A1 (en) * 2006-12-28 2008-07-17 Nec Corporation Application linking virus and dns attacking sender detecting device, its method, and program
CN101184094B (en) * 2007-12-06 2011-07-27 北京启明星辰信息技术股份有限公司 Network node scanning detection method and system for LAN environment
US10027688B2 (en) * 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8868707B2 (en) * 2009-06-16 2014-10-21 Oracle International Corporation Adaptive write-back and write-through caching for off-line data
US8489637B2 (en) * 2009-11-19 2013-07-16 International Business Machines Corporation User-based DNS server access control
US8578497B2 (en) * 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8826438B2 (en) 2010-01-19 2014-09-02 Damballa, Inc. Method and system for network-based detecting of malware from behavioral clustering
US9049247B2 (en) 2010-04-01 2015-06-02 Cloudfare, Inc. Internet-based proxy service for responding to server offline errors
US10102301B2 (en) 2010-04-01 2018-10-16 Cloudflare, Inc. Internet-based proxy security services
US9516058B2 (en) 2010-08-10 2016-12-06 Damballa, Inc. Method and system for determining whether domain names are legitimate or malicious
US9325662B2 (en) * 2011-01-07 2016-04-26 Seven Networks, Llc System and method for reduction of mobile network traffic used for domain name system (DNS) queries
US8631489B2 (en) * 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US10547674B2 (en) 2012-08-27 2020-01-28 Help/Systems, Llc Methods and systems for network flow analysis
US9166994B2 (en) 2012-08-31 2015-10-20 Damballa, Inc. Automation discovery to identify malicious activity
US9680861B2 (en) 2012-08-31 2017-06-13 Damballa, Inc. Historical analysis to identify malicious activity
US10084806B2 (en) 2012-08-31 2018-09-25 Damballa, Inc. Traffic simulation to identify malicious activity
US9894088B2 (en) 2012-08-31 2018-02-13 Damballa, Inc. Data mining to identify malicious activity
US20140282867A1 (en) * 2013-03-15 2014-09-18 Hewlett-Packard Development Company, L.P. Device local reputation score cache
US9571511B2 (en) 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US9930065B2 (en) 2015-03-25 2018-03-27 University Of Georgia Research Foundation, Inc. Measuring, categorizing, and/or mitigating malware distribution paths
US10623425B2 (en) 2017-06-01 2020-04-14 Radware, Ltd. Detection and mitigation of recursive domain name system attacks
US10938851B2 (en) 2018-03-29 2021-03-02 Radware, Ltd. Techniques for defense against domain name system (DNS) cyber-attacks

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
JP3596400B2 (en) * 2000-01-21 2004-12-02 日本電気株式会社 DNS server filter
US7707305B2 (en) * 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7970886B1 (en) * 2000-11-02 2011-06-28 Arbor Networks, Inc. Detecting and preventing undesirable network traffic from being sourced out of a network domain
US6775704B1 (en) * 2000-12-28 2004-08-10 Networks Associates Technology, Inc. System and method for preventing a spoofed remote procedure call denial of service attack in a networked computing environment
US7958237B2 (en) * 2001-01-23 2011-06-07 Pearl Software, Inc. Method for managing computer network access
US6907525B2 (en) * 2001-08-14 2005-06-14 Riverhead Networks Inc. Protecting against spoofed DNS messages
US7626940B2 (en) * 2004-12-22 2009-12-01 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention for domain name service

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
See references of WO2006013292A1 *

Also Published As

Publication number Publication date
US20080028073A1 (en) 2008-01-31
WO2006013292A1 (en) 2006-02-09

Similar Documents

Publication Publication Date Title
EP1774751A1 (en) Method, device and system for protecting a server against dns denial-of-service attacks
US9444835B2 (en) Method for tracking machines on a network using multivariable fingerprinting of passively available information
EP1733539B1 (en) Device and method for detecting and preventing intrusion into a computer network
US7428590B2 (en) Systems and methods for reflecting messages associated with a target protocol within a network
EP2526670B1 (en) Method and system for preventing dns cache poisoning
EP1507384B1 (en) Method of masking the processing of an access request to a server and corresponding system
US20050060535A1 (en) Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments
US20090037592A1 (en) Network overload detection and mitigation system and method
US20180159825A1 (en) Network host provided security system for local networks
US20040088423A1 (en) Systems and methods for authentication of target protocol screen names
US20040103318A1 (en) Systems and methods for implementing protocol enforcement rules
US20040109518A1 (en) Systems and methods for a protocol gateway
FR2844941A1 (en) Access method of intranet resource, involves sending verification message from/to either of peer devices at predetermined transmission instants
FR2852754A1 (en) Data transmission system, has fire wall, router and probe detecting abnormal operating conditions based on pre-set system operation, and sending messages to network security manager to activate filtering actions on message reception
EP1902563A2 (en) Detecting an intrusion by alternative routing of data packets in a telecommunication network
EP2807815B1 (en) System and method for controlling a dns request
WO2004086719A2 (en) Secure client/server data transmission system
WO2007003818A1 (en) Method for filtering through multi-protocol coupling based on dns protocol
EP3087719B1 (en) Method of slowing down a communication in a network
EP1766934A1 (en) Method, computer programme, device and system for protecting a server against denial-of-service attacks
WO2015197978A1 (en) Method of protecting a router against attacks
FR2800224A1 (en) HTTP data caching method, for IP SOCKS server of intranet, terminating TCP and SOCKS connections for datagrams originating from SOCKS client and for HTTP application level forming new datagram if HTTP data held in local cache
FR3103921A1 (en) A method of coordinating the mitigation of a computer attack, associated device and system.
EP1471713B1 (en) Method and system for controlling access to Internet sites via cache server
FR3079642A1 (en) COMPUTER INTRUSION SENSOR AND METHOD FOR CREATING AN INTRUSION SENSOR

Legal Events

Date Code Title Description
PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

Free format text: ORIGINAL CODE: 0009012

17P Request for examination filed

Effective date: 20070206

AK Designated contracting states

Kind code of ref document: A1

Designated state(s): AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LI LT LU LV MC NL PL PT RO SE SI SK TR

RIN1 Information on inventor provided before grant (corrected)

Inventor name: CARLINET, YANNICK

Inventor name: GOURHANT, YVON

Inventor name: TRABE, PATRICK

DAX Request for extension of the european patent (deleted)
RAP1 Party data changed (applicant data changed or rights of an application transferred)

Owner name: FRANCE TELECOM

17Q First examination report despatched

Effective date: 20110225

STAA Information on the status of an ep patent application or granted ep patent

Free format text: STATUS: THE APPLICATION IS DEEMED TO BE WITHDRAWN

18D Application deemed to be withdrawn

Effective date: 20130202