Le DNS Spoofing est une attaque de typê "Man in the Middle" ou bien "MitM". Comme le type l'indique, lors de cette attaque le pirate se place entre le client et le serveur. De cette façon il fait croire au client que c'est le serveur DNS qui répond alors que en réalité c'est le pirate qui tente de rédireger le client vers, par exemple, son serveur. Grâce à cette attaque, le pirate à la possibilité de récupérer des informations personelles du client tels que des mots de passes. Le pirate pourrait également espionner la communication entre le client et le serveur.

Différentes solutions se présentent contre le DNS spoofing. Certains de ces solutions sont simplement sécuriser l'accès au réseau du client ou le cryptage de l'échange des informations à l'aide d'HTTPS. Néanmoins, pour éviter le DNS Spoofing au niveau du serveur DNS même les prochaines solutions se présentent :

• Sécuriser le serveur sur lequelle se trouve le logiciel DNS.
• Garder le serveur DNS à jour à l'aide de mises à jour régulières.
• Activer le DNSSEC, une signature électronique qui affirme l'authenticité des réponses DNS.

Génération des fichier pour le dnssec à l'aide des commandes suivantes

$ dnssec-keygen -a NSEC3RSASHA1 -b 2048 -n ZONE l2-2.ephec-ti.be
$ dnssec-keygen -f KSK -a NSEC3RSASHA1 -b 4096 -n ZONE l2-2.ephec-ti.be
--ne pas oublier d'inclure les fichiers.key générés par les 2 commandes précédentes dans le fichier de zone--
$ dnssec-signzone -A -3 $(head -c 1000 /dev/random | sha1sum | cut -b 1-16) -N INCREMENT -o l2-2.ephec-ti.be -t db.l2-2.ephec-ti.be

Ensuite, activation du dnssec dans le fichier de configuration de bind (named.conf.options)

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

Une attaque DDos ("Distributed Denial of Service") est une attaque facile à mettre en oeuvre et de ce fait très populaire. L'attaque consiste à hacker plusieurs orinateurs/serveurs sans que le propiétaire le remarque. Ces ordinateurs et serveurs piratés sont apellés des appareils "Zombies". Lorsque le pirate le souhaite, il peut ordonner à tous les appareils Zombies qu'il a piraté d'envoyer des milliers de requêtes successives à un appareil en particulier. Le but est alors d'envoyer tellemnt de requêtes que le serveur cible crash ou s'arrête puisqu'il n'est plus capable de traiter toutes les requêtes.

Empêcher le serveur DNS à repondre à des requêtes récursives. De cette façon le serveur répondra que aux requêtes concernant la zone pour laquelle il a autorité. Ceci réduit les chances d'être victime d'une attaque DDOS.

Pour refuser les requêtes récursives

recursion no;

Pour éviter de passer des informations supplémentaires dans les réponses dns

additional-from-cache no;
additional-from-auth no;

Pour éviter qu'un autre serveur puisse répondre à des requêtes venant de cette zone il faut bloquer le transfert de zone. Bloquer le transfert de zone est fait pour éviter qu'un serveur dns malicieux essaye de rédiriger l'utilisateur vers un site insécure.

allow-transfer { none; };

• https://www.digitalocean.com/community/tutorials/how-to-setup-dnssec-on-an-authoritative-bind-dns-server-2
• https://geekflare.com/dns-security-test/
• https://www.internetsociety.org/resources/deploy360/2012/step-by-step-how-to-use-a-dnssec-ds-record-to-link-a-registar-to-a-dns-hosting-provider-4/

• https://www.cloudflare.com/dns/dnssec/how-dnssec-works/