Vérifier la protection du serveur DNS contre les attaques par amplification DNS

Pour les offres Serveur avec droits d'administration

Dans cet article, nous vous montrons comment savoir si des tiers peuvent utiliser votre serveur à mauvais escient pour une attaque par amplification DNS.

Pour savoir si vos paramètres actuels sont incorrects, vous pouvez essayer de résoudre un nom d'hôte à partir de votre serveur. Si la résolution est correcte, vous devez ajuster la configuration du serveur. Si la résolution du nom échoue, vous n'avez rien d'autre à faire.

Remarque

Pour que le test soit significatif, il ne doit pas être exécuté sur le serveur lui-même. Utilisez plutôt un ordinateur doté d'une connexion Internet normale (câble, etc.), comme votre ordinateur personnel.

Vérification sous Windows

Sur les systèmes d'exploitation Windows, procédez comme suit :

  • Appuyez sur la combinaison de touches Windows + R.
  • Tapez cmd et appuyez sur Entrée.
  • Entrez la commande nslookup www.ionos.fr [adresse IP de votre serveur racine] et confirmez votre saisie avec Entrée.
    Un exemple :
nslookup www.ionos.fr 123.123.12.123 
  • Si vous obtenez un résultat similaire à ce qui suit
NoNon-authoritative answer:
Name: www.ionos.fr
Address: 212.227.17.105

Cela signifie que le serveur répond à la demande et est donc vulnérable aux attaques d'amplification. Dans ce cas, la configuration DNS doit être modifiée.

  • Autrement, si le résultat ressemble à
*** Unknown can't find www.ionos.fr: Query refused

ou si vous obtenez un ou plusieurs temps morts (timeout), vous n'avez rien d'autre à faire.

Vérification sous Linux ou Mac OS

  • Ouvrez un terminal (console).
  • Entrez la commande host www.ionos.fr [adresse IP de votre serveur racine].
    Par exemple :
host www.ionos.fr 123.123.12.123 
  • Si vous obtenez un résultat similaire à
>www.ionos.fr has address 212.227.17.105

Cela signifie que le serveur répond à la demande et est donc vulnérable aux attaques d'amplification. Dans ce cas, la configuration DNS doit être modifiée.

  • Si, par contre, vous recevez un résultat similaire à
Host www.ionos.fr not found: 5(REFUSED) 

vous n'avez rien à faire, car votre DNS refuse de répondre à la demande.