Résumé

  • L'incident DDoS d'octobre 2016 de Dyn a fait du DNS faisant autorité un problème de responsabilité pour le basculement client car de nombreux services étaient devenus inaccessibles même si leurs propres piles applicatives n'étaient pas la cible principale.
  • Dyn contrôlait son infrastructure DNS géré, ses partenariats d'atténuation, sa communication client et sa déclaration post-incident. Les clients contrôlaient l'architecture de domaine, la planification DNS secondaire, la surveillance, la préparation du registre et les règles de décision en cas d'incident.
  • Des mesures et recherches indépendantes, y compris ThousandEyes et des travaux ultérieurs sur la redondance DNS, ont montré que la concentration DNS chez un seul fournisseur créait une exposition pratique pour de nombreux domaines.
  • Les enregistrements de Mirai et des botnets IoT sont importants, mais ils n'effacent pas les devoirs du fournisseur et du client. La responsabilité des botnets, la résilience du fournisseur et le basculement client sont des couches différentes du même problème de disponibilité publique.
  • La leçon durable est que le basculement DNS est une discipline opérationnelle répétée, et non une case à cocher d'achat. Les fournisseurs secondaires, les choix de TTL, la synchronisation des zones, DNSSEC, la surveillance et l'avis public doivent fonctionner ensemble avant l'attaque.

La panne DNS peut se cacher derrière des applications saines

L'incident Dyn est un exemple clair d'une dépendance que de nombreux utilisateurs ne voient pas. Un site web, un service de streaming, une plateforme sociale, un outil de paiement ou un média peut avoir des serveurs applicatifs fonctionnels et rester inaccessible si les utilisateurs ne peuvent pas résoudre le nom. Le carnet d'adresses échoue avant que l'application ne puisse répondre. Pour un utilisateur, la distinction peut ne pas avoir d'importance. Le service est en panne. Pour un examen de responsabilité, la distinction importe car les contrôles responsables sont différents.

La déclaration conservée de Dynsur l'attaque DDoS du 21/10/2016décrivait des attaques contre l'infrastructure DNS géré, plusieurs vagues, des partenaires d'atténuation et un impact client variant selon la région et le temps. Cette déclaration est primaire pour le compte de Dyn, mais ce n'est pas une carte complète des pertes client par client. Elle nous dit que le fournisseur a été attaqué et que le DNS géré était la surface opérationnelle.

L'analyse de ThousandEyes,The DDoS Attack on Dyn's DNS Infrastructure, aide à montrer le problème de basculement client. Elle rapportait des échecs de requêtes sévères depuis des points d'observation surveillés, de nombreux sites affectés, et des différences entre les domaines qui dépendaient fortement de Dyn et ceux ayant des arrangements DNS plus diversifiés. Les chiffres exacts reflètent un ensemble de mesures, pas l'ensemble d'Internet, mais la leçon est robuste: l'architecture de résolution de noms peut décider si une attaque du fournisseur devient une panne client.

Le test de responsabilité commence par séparer les couches. Dyn avait des devoirs concernant la résilience de l'infrastructure, l'atténuation DDoS, la communication de statut et les conseils aux clients. Les clients avaient des devoirs concernant l'architecture de domaine, la diversité des fournisseurs, les tests de basculement et la communication utilisateur. Les opérateurs de botnets avaient la responsabilité du trafic hostile. Traiter une seule couche comme l'histoire complète cache les autres.

Le DNS secondaire n'est pas un interrupteur magique

La RFC 2182,Selection and Operation of Secondary DNS Servers, est ancienne mais toujours utile car elle énonce un principe de base de résilience: les serveurs DNS faisant autorité ne devraient pas partager les mêmes modes de défaillance locaux. Dans le DNS géré moderne, le principe devient plus compliqué. Les clients peuvent utiliser plusieurs fournisseurs, des réseaux anycast, DNSSEC, des contrôles de registre, la gestion automatisée des zones, des intégrations API et des enregistrements liés au CDN. La diversité n'est précieuse que si elle est opérationnellement réelle.

Le DNS secondaire peut échouer en tant que contrôle si les zones sont obsolètes, si DNSSEC est mal géré, si les fournisseurs dépendent des mêmes amonts, si la surveillance ne détecte pas une panne partielle, si les changements de registre sont lents, si le personnel ne sait pas qui peut autoriser les changements, ou si les enregistrements sont trop dynamiques pour être synchronisés en toute sécurité. Un client qui ajoute un second fournisseur mais ne teste jamais le basculement n'a pas résolu le problème. Il a acheté une hypothèse.

La recherche surle manque de redondance dans la résolution DNS des principaux sites web et servicesest précieuse car elle traite la concentration DNS comme une architecture mesurable. Le jeu de données de l'article n'est pas un recensement universel, mais il soutient le point plus large que la diversité des fournisseurs et la redondance testée ne sont pas automatiques. De nombreuses organisations comptent sur un seul fournisseur de DNS géré car c'est simple, intégré et généralement fiable. Le coût de cette simplicité apparaît lors d'un incident au niveau du fournisseur.

La question au niveau du conseil n'est donc pas "avons-nous un DNS secondaire?" mais "pouvons-nous prouver que la résolution de noms survit à la défaillance de notre fournisseur DNS principal en conditions d'attaque?" Cette preuve nécessite synchronisation des zones, surveillance, autorité opérationnelle, runbooks, gestion DNSSEC, listes de contacts et preuves de test. Sans cela, le DNS secondaire peut être un diagramme plutôt qu'un chemin de récupération.

Le basculement client commence avant l'attaque

Le basculement client est souvent imaginé comme une action de crise: fournisseur en panne, passer au backup. En réalité, le basculement DNS commence dans l'architecture ordinaire. Quel fournisseur héberge la zone faisant autorité? Les serveurs de noms de plusieurs fournisseurs sont-ils délégués au registre? Les enregistrements sont-ils synchronisés? Les enregistrements dynamiques sont-ils contrôlés par un système ou plusieurs? Les TTL sont-ils adaptés au taux de changement attendu? La signature DNSSEC est-elle compatible entre les fournisseurs? Qui peut modifier les paramètres du registre? Qui peut déclarer une urgence DNS?

Qui informe les clients?

Ces décisions ne sont pas glamour, mais elles déterminent si un client peut agir lors d'un événement DDoS. Si le second fournisseur n'est pas déjà délégué, un changement de registre peut prendre du temps et créer une incertitude de propagation. Si les données de zone sont obsolètes, le basculement peut pointer les utilisateurs vers de mauvais points de terminaison. Si les clés DNSSEC ne sont pas coordonnées, les utilisateurs peuvent voir des échecs de validation. Si la surveillance ne distingue pas une panne de fournisseur d'une panne d'application, les équipes peuvent résoudre la mauvaise couche.

Le guide de CISA surla compréhension et la réponse aux attaques par déni de service distribuémet l'accent sur la préparation, les bases de référence, la coordination des fournisseurs et les procédures de réponse. La collection de conseils sur le déni de service du NCSCfait le même point général: comprendre le service, comprendre les défenses, créer des plans et tester. Les clients DNS devraient traduire cela en exercices spécifiques au domaine.

L'exercice devrait être spécifique. Imaginez que le fournisseur DNS faisant autorité principal est attaqué et partiellement inaccessible depuis les grandes régions. L'organisation peut-elle voir la panne? Peut-elle vérifier que les applications sont saines? Peut-elle communiquer avec le fournisseur? Peut-elle passer au DNS secondaire ou s'y fier sans casser DNSSEC? Peut-elle mettre à jour les pages de statut public si la page de statut dépend du même DNS? Peut-elle expliquer l'incident aux utilisateurs? Si la réponse est incertaine, le plan de basculement n'est pas encore un contrôle.

La transparence du fournisseur nécessite des détails d'action client

Lors d'une attaque de fournisseur DNS, les clients ont besoin de plus qu'une assurance que l'atténuation est en cours. Ils ont besoin d'incertitude actionable. Quelles régions sont affectées? Quels services sont dégradés? Les réponses faisant autorité échouent-elles ou sont-elles retardées? Des types d'enregistrement spécifiques sont-ils affectés? Les clients devraient-ils réduire les TTL, déplacer le trafic, activer des fournisseurs secondaires, ou attendre? Les API sont-elles disponibles? Les mises à jour de statut sont-elles sur une infrastructure indépendante du DNS affecté? Quand viendra la prochaine mise à jour?

La déclaration publique de Dyn nommait les vagues d'attaque et le travail d'atténuation. C'est utile. Mais l'optique du basculement client demande ce que les clients pouvaient faire avec l'information pendant l'attaque active. Un client sans basculement testé peut seulement regarder. Un client avec DNS secondaire délégué, communication de statut indépendante et règles de décision préparées peut décider de subir l'incident, de déplacer certains enregistrements ou d'avertir les utilisateurs. La transparence du fournisseur et la préparation du client se multiplient mutuellement.

Le problème de statut est subtil. La propre page de statut, les mises à jour par email, les canaux sociaux, le portail de support et la documentation API d'un fournisseur DNS doivent rester accessibles lorsque le DNS est attaqué. Si les clients ne peuvent pas atteindre la source de vérité, ils peuvent se fier aux réseaux sociaux, aux rumeurs ou à la surveillance tierce. Un fournisseur devrait concevoir la communication de statut comme un service de continuité hors bande.

La communication client compte aussi. Si un service en ligne majeur est inaccessible car le DNS échoue, l'utilisateur peut ne pas comprendre si le service, le FAI, le périphérique local, le compte ou le système de paiement est en panne. Un client préparé devrait avoir un canal de statut public qui ne partage pas le même mode de défaillance et devrait expliquer la dépendance clairement. "Notre application fonctionne, mais certains utilisateurs ne peuvent pas résoudre notre domaine car notre fournisseur DNS est attaqué" est plus utile qu'un langage générique d'indisponibilité.

Mirai a rendu la responsabilité des botnets inévitable

L'attaque Dyn est inséparable de Mirai et du problème des botnets IoT, mais Mirai ne devrait pas être utilisé pour aplatir l'analyse. L'alerte de CISA avant Dyn,Heightened DDoS Threat Posed by Mirai and Other Botnets, avertissait que Mirai et le code source publié augmentaient le risque DDoS. La recherche évaluée par les pairs,Understanding the Mirai Botnet, expliquait comment des appareils non sécurisés pouvaient être recrutés à grande échelle.

Les archives du DOJ ont ensuite fourni un contexte de responsabilité pénale. Le département a annoncédes accusations et des plaidoyers de culpabilité dans des affaires impliquant des attaques DDoS significativeset plus tard unplaidoyer de culpabilité individuel lié à une attaque IoT ayant impacté Dyn. Ces archives comptent. Elles montrent que le trafic hostile n'était pas un acte de la nature.

Mais la responsabilité des botnets n'est pas un substitut aux contrôles du fournisseur et du client. Un botnet criminel peut créer le flot, mais les fournisseurs ont encore besoin de capacité d'atténuation et de communication, et les clients ont encore besoin de plans de basculement. La couche du botnet explique pourquoi le trafic était possible. La couche d'architecture DNS explique pourquoi des services non liés sont devenus inaccessibles. La couche d'architecture client explique pourquoi certains clients étaient plus exposés que d'autres.

Le rapport de NIST surl'amélioration de la résilience contre les botnetset des conseils IoT ultérieurs tels queNISTIR 8259Amontrent comment la conversation politique s'est orientée vers le cycle de vie des appareils, la responsabilité des fabricants et les incitations écosystémiques. C'est nécessaire, mais c'est lent. Les clients DNS ne peuvent pas attendre que l'écosystème IoT soit réparé avant de tester le basculement.

La mesure transforme l'anecdote en architecture

Les récits de panne peuvent rapidement devenir anecdotiques. Un utilisateur dit que Twitter est en panne. Un autre dit que Spotify fonctionne. Un troisième dit que le problème est régional. Un fournisseur dit que l'atténuation est en cours. La mesure aide à transformer ces observations en architecture. ThousandEyes a mesuré les échecs DNS depuis plusieurs points d'observation. RIPE Labs a publiéun coup d'œil rapide sur l'attaque Dynen utilisant les observations de RIPE Atlas. RIPE Labs a également discuté dela complexité du DDoS DNS, y compris le comportement de retry récursif et la difficulté de distinguer le trafic d'attaque des requêtes DNS légitimes.

La mesure compte pour la responsabilité car elle montre où la panne était visible et où elle ne l'était pas. Un fournisseur peut voir le volume d'attaque. Les clients peuvent voir des échecs de requêtes. Les utilisateurs peuvent voir des services inaccessibles. Les résolveurs récursifs peuvent retenter. Les caches peuvent masquer ou amplifier les effets selon le timing. Différentes régions peuvent connaître des résultats différents. Sans mesure, les parties argumentent depuis des perspectives partielles.

Le travail académique tel queWhen the Dike Breaks: Dissecting DNS Defenses During DDoSajoute une autre couche en examinant le comportement de défense DNS, la mise en cache et la résilience spécifique à la couche. Le point n'est pas qu'un seul article peut juger de chaque impact client Dyn. Le point est que la résilience DNS peut être étudiée, mesurée et améliorée. Ce n'est pas un mystère qui ne peut s'expliquer qu'après la catastrophe.

Les clients devraient utiliser une surveillance DNS indépendante dans le cadre de leurs propres preuves. La surveillance devrait tester les réponses faisant autorité depuis plusieurs régions et réseaux, comparer les fournisseurs, alerter en cas d'échec de résolution et identifier si la couche application ou résolution de noms échoue. Si l'organisation ne peut pas voir l'échec DNS indépendamment de son fournisseur, elle peut être aveugle pendant l'événement même qui compte.

La continuité du service public dépend aussi de la résolution de noms

L'événement Dyn a affecté de nombreux services en ligne populaires, selon des reportages contemporains comme le rapport du Chicago Sun-Times/AP surles cyberattaques perturbant les services Internetet le rapport du Guardian selon lequel uneattaque DDoS majeure a perturbé l'accès à des sites importants. Ces services nommés étaient principalement privés, mais la leçon de continuité s'applique aussi aux services publics. Un portail gouvernemental, une page d'information d'urgence, un outil de réservation de santé publique, un système de dépôt judiciaire ou un service fiscal peut aussi disparaître si le DNS n'est pas résilient.

La continuité du secteur public élève le devoir. Un service privé de médias ou de divertissement peut perdre des revenus et la confiance. Un service public peut affecter les droits, les délais, les prestations, la santé, l'accès juridique ou l'information d'urgence. Les acheteurs publics devraient donc inclure la résilience DNS dans leurs achats et leur assurance. Ils devraient demander où le DNS faisant autorité est hébergé, si un DNS secondaire est délégué, si DNSSEC est opérationnellement testé, si les identifiants du registre sont protégés et si la communication de statut est indépendante.

Ce n'est pas seulement une checklist technique. C'est une gouvernance sur le carnet d'adresses public. Le pouvoir de délégation DNS décide où les gens vont lorsqu'ils tapent un nom, cliquent sur un lien ou utilisent une application. Si ce pouvoir est concentré sans chemins de récupération testés, l'accès public peut dépendre de la capacité d'un seul fournisseur à absorber une attaque. Cela peut être acceptable pour certains services et inacceptable pour d'autres. La distinction devrait être explicite.

Les agences publiques devraient aussi mener des tests côté utilisateur. Les citoyens peuvent-ils encore trouver des informations d'urgence si le domaine principal est altéré? Des domaines alternatifs sont-ils communiqués à l'avance? Les canaux sociaux officiels sont-ils vérifiés? Les centres d'appels savent-ils quoi dire si le site web est inaccessible? Les délais sont-ils prolongés lorsque les systèmes sont indisponibles? La résolution de noms n'est que la première étape de la continuité publique, mais c'est l'étape qui permet aux autres de commencer.

Les contrats devraient exiger des preuves, pas seulement de la disponibilité

Les contrats de DNS géré mettent souvent l'accent sur les niveaux de service, le support, la sécurité et la disponibilité. Après Dyn, les clients devraient demander des droits de preuve. Quelles données d'incident le fournisseur partagera-t-il? Quel cadence de statut est promise? Quelles informations d'impact spécifiques au client sont disponibles? Quels mécanismes d'exportation et de transfert de zone existent? Comment les fournisseurs secondaires sont-ils supportés? Quels sont les partenaires d'atténuation DDoS et les voies d'escalade du fournisseur? Comment les changements sont-ils authentifiés en cas d'urgence?

Les pourcentages de disponibilité peuvent cacher un risque de mode commun. Un fournisseur peut atteindre des objectifs historiques de disponibilité mais représenter néanmoins un domaine de défaillance concentré pour les noms les plus importants d'un client. La révision des contrats devrait donc inclure des questions architecturales: le client peut-il opérer un DNS multi-fournisseur sans violer les conditions de support? Les API et les formats de zone sont-ils portables? Le fournisseur supporte-t-il des arrangements DNSSEC entre fournisseurs? Le client peut-il obtenir les journaux nécessaires pour reconstruire l'impact d'une panne partielle?

L'annonce d'Oracle selon laquelleOracle rachète Dyndécrivait le rôle de marché de Dyn et sa base de clients entreprises. L'acquisition ne devrait pas être traitée comme causée par l'attaque de cette seule source. Elle montre que le DNS géré et les services de performance Internet étaient une infrastructure commerciale significative. Les clients achetant ces services devraient les traiter comme des dépendances critiques, et non comme des ajouts de commodité.

Les droits de preuve protègent aussi les fournisseurs. Si un fournisseur peut montrer des chronologies d'attaque, des étapes d'atténuation, des avis clients et des jalons de récupération, il peut distinguer son propre contrôle de l'architecture client et des conditions de botnet. Un dossier de preuve faible invite au blâme sans précision. Un dossier solide soutient une allocation équitable.

La question de responsabilité est: qui peut prouver le basculement?

Le dossier public laisse de nombreuses inconnues: le mélange complet du trafic d'attaque, chaque domaine affecté, toutes les configurations client, les décisions de capacité internes de Dyn, les pertes individuelles des clients et les devoirs contractuels exacts. Ces inconnues comptent. Elles empêchent des affirmations faciles qu'une seule partie possédait tout le préjudice. Elles rendent aussi la norme de responsabilité plus pratique: qui peut prouver le basculement?

Dyn a pu prouver des parties de sa réponse via des déclarations publiques et la communication client. Les moniteurs indépendants ont pu prouver des échecs DNS observés depuis des points d'observation spécifiques. Les clients pouvaient, en principe, prouver s'ils avaient un DNS secondaire, s'il était délégué, si les zones étaient à jour, si DNSSEC fonctionnait, si les applications étaient saines et si les utilisateurs recevaient un avis clair. Les poursuites pour botnet pouvaient prouver des parties de la couche criminelle. Chaque preuve répond à une question de responsabilité différente.

Pour les clients, la preuve clé est pré-incident. Un plan de basculement documenté après une panne de fournisseur est faible. Un plan testé avant la panne est un contrôle. Le test devrait inclure l'altération du fournisseur principal, le comportement du fournisseur secondaire, l'accès au registre, la validation DNSSEC, la surveillance, l'indépendance de la page de statut, la communication client et le rollback. Il devrait être assez ennuyeux pour être exécuté régulièrement et assez sérieux pour exposer de fausses hypothèses.

Pour les fournisseurs, la réparation crédible inclut la capacité d'atténuation, un statut transparent, les conseils clients, le support des architectures multi-fournisseurs et des preuves d'incident claires. Pour les agences publiques et les services critiques, la réparation crédible inclut le classement des services et la communication alternative. Pour l'écosystème IoT, la réparation crédible inclut des améliorations de sécurité des appareils qui réduisent le carburant des botnets. Le cas Dyn se situe à l'intersection de toutes ces couches.

Un exercice DNS réel est plus dur qu'un diagramme

La leçon finale est opérationnelle. Un diagramme DNS peut montrer deux fournisseurs et de nombreux serveurs de noms. Un exercice réel montre si l'organisation peut les utiliser. L'exercice devrait commencer par une panne partielle du DNS faisant autorité dans une ou plusieurs régions. La surveillance devrait la détecter. L'équipe d'incident devrait décider d'agir. L'équipe DNS devrait confirmer la fraîcheur de la zone. L'équipe sécurité devrait confirmer les identifiants. L'équipe communication devrait mettre à jour un canal de statut indépendant. Le propriétaire métier devrait comprendre quels services sont affectés.

L'équipe juridique ou conformité devrait noter les implications de délais et d'impact utilisateur.

Ensuite, l'équipe devrait tester le changement. Les enregistrements peuvent-ils être servis correctement depuis le fournisseur secondaire? Les résolveurs récursifs se comportent-ils comme prévu? DNSSEC valide-t-il? Les applications mobiles, API, intégrations CDN, email et flux d'identité fonctionnent-ils toujours? Les journaux sont-ils conservés? Les utilisateurs dans les régions affectées récupèrent-ils? L'organisation peut-elle expliquer la différence entre la santé DNS et celle de l'application? Peut-elle revenir à la normale sans créer une autre panne?

Le résultat devrait être documenté comme preuve, pas seulement comme un succès ou un échec. Quelles hypothèses étaient fausses? Quels contacts étaient obsolètes? Quelle interface fournisseur était confuse? Quels noms manquaient de couverture secondaire? Quelle page de statut partageait le mode de défaillance? Quels enregistrements étaient trop dynamiques pour une gestion manuelle? Ces constatations sont la vraie valeur de l'exercice.

L'incident DDoS de 2016 de Dyn reste pertinent car il a exposé une vérité silencieuse: l'Internet public dépend souvent de noms dont la résilience est moins testée que les services derrière eux. Le DNS faisant autorité n'est pas seulement de la plomberie. C'est le chemin par lequel les utilisateurs trouvent le service. La responsabilité du basculement client commence lorsque ce chemin est conçu, testé et gouverné avant que quelqu'un ne l'attaque.

DNSSEC et l'automatisation peuvent compliquer le basculement

DNSSEC améliore l'authenticité, mais peut compliquer le basculement multi-fournisseur si la gestion des clés, la signature, la délégation et les rôles opérationnels ne sont pas compris. Un client qui signe des zones via un fournisseur puis essaie de migrer sous stress peut découvrir que les échecs de validation deviennent une deuxième panne. La bonne leçon n'est pas d'éviter DNSSEC. C'est d'inclure DNSSEC dans les exercices de basculement pour que l'authenticité et la disponibilité soient testées ensemble.

L'automatisation a un double tranchant similaire. Les changements DNS pilotés par API, l'infrastructure comme code, les enregistrements dynamiques, la gestion du trafic et les intégrations CDN peuvent rendre les opérations ordinaires efficaces. Ils peuvent aussi rendre le basculement d'urgence plus fragile si seule une intégration de fournisseur est maintenue ou si le pipeline d'automatisation dépend du fournisseur affecté. Un repli manuel via console peut être trop lent; un repli automatisé peut être non testé.

La conception responsable nomme quelle automatisation est fiable en cas de panne du fournisseur et quelles approbations humaines restent nécessaires.

L'exercice devrait donc inclure des vérifications cryptographiques et d'automatisation. L'équipe peut-elle régénérer ou pré-positionner des clés? Peut-elle synchroniser les enregistrements en toute sécurité? Peut-elle empêcher des réponses DNS split-brain? Peut-elle éviter des enregistrements obsolètes provenant d'un pipeline désactivé? Peut-elle tester la mise en cache négative et le comportement des TTL? Peut-elle valider depuis plusieurs résolveurs récursifs? Ces détails peuvent sembler étroits, mais ils décident si le basculement fonctionne pour de vrais utilisateurs.

Les pages de statut ont besoin de noms indépendants

Un mode de défaillance embarrassant est une page de statut qui dépend du même chemin DNS que le service qu'elle explique. Si les utilisateurs ne peuvent pas résoudre le domaine principal, ils peuvent aussi être incapables de résoudre le domaine de statut. Un plan sérieux de basculement client devrait placer la communication de statut sur un nom, un fournisseur et un canal indépendants.

Ce n'est pas seulement une préférence de communication. Lors d'un incident DNS, le public peut ne pas savoir si le service est en panne, le FSI de l'utilisateur est en panne, l'appareil est en panne ou le compte est compromis. Un canal de statut indépendant réduit l'incertitude et la charge de support. Il donne aussi à l'entreprise un endroit pour expliquer si les applications sont saines, si le DNS est altéré, si le basculement est en cours et à quoi les utilisateurs doivent s'attendre.

Pour les services du secteur public, le statut indépendant est encore plus important. Un citoyen essayant de remplir un formulaire, vérifier une prestation, trouver un conseil d'urgence ou respecter un délai légal a besoin d'une source fiable d'alternatives. Le canal de statut devrait être testé depuis l'extérieur du réseau gouvernemental et depuis différentes régions. Il ne devrait pas nécessiter le même fournisseur d'identité si l'identité fait partie de la panne. Il devrait être compréhensible pour les non-spécialistes.

Les achats devraient traiter le DNS comme une dépendance critique

Les organisations examinent souvent l'hébergement cloud, l'identité, le traitement des paiements, les e-mails et le stockage de données comme des services critiques tout en traitant le DNS comme un petit poste. L'événement Dyn plaide pour changer cette hiérarchie. Si le DNS échoue, de nombreux autres investissements deviennent inaccessibles. L'examen des achats devrait demander si le fournisseur a une capacité DDoS crédible, une communication d'incident transparente, un statut indépendant, un support pour DNS secondaire, des zones exportables, des conseils DNSSEC, des rapports spécifiques au client et des contacts d'urgence.

L'examen devrait aussi demander ce que le client promet de faire. Un fournisseur ne peut pas implémenter seul l'architecture complète de basculement d'un client. Le client doit maintenir des zones précises, déléguer des serveurs de noms secondaires le cas échéant, protéger les comptes de registre, tester les changements, assigner l'autorité de décision et surveiller la résolution depuis des emplacements indépendants. Un contrat qui achète la résilience du fournisseur sans la préparation du client est incomplet.

La criticité devrait être hiérarchisée par service. Un microsite marketing peut tolérer une interruption DNS plus longue. Une passerelle de paiement, un portail d'urgence, un point de terminaison d'identité, une API utilisée par les clients ou un service de santé publique peut ne pas le tolérer. La hiérarchisation évite à la fois la suringénierie et la négligence dangereuse. Elle permet aux équipes de consacrer des efforts de résilience là où le préjudice pour l'utilisateur serait le plus élevé.

Les résolveurs récursifs et les caches compliquent l'expérience utilisateur

Le DNS faisant autorité n'est qu'une partie du chemin de résolution. Les résolveurs récursifs, les caches, les TTL, la mise en cache négative, le comportement de retry et les conditions réseau de l'utilisateur façonnent tous ce que les gens expérimentent. Lors de l'événement Dyn, certains utilisateurs pouvaient atteindre les services tandis que d'autres non. Certains enregistrements en cache peuvent avoir masqué temporairement une panne d'autorité. D'autres comportements de résolveur peuvent avoir augmenté la pression. Cette complexité est pourquoi la mesure indépendante est si importante.

Les clients ne devraient pas supposer qu'une requête réussie depuis le siège prouve la disponibilité globale. Ils ont besoin de points d'observation à travers les régions, les réseaux et les types de résolveurs. Ils devraient tester le DNS d'entreprise, les résolveurs publics, les résolveurs FAI, les réseaux mobiles et les emplacements de surveillance cloud. Ils devraient aussi surveiller la différence entre la résolution DNS et la réponse applicative. Si le DNS échoue en premier, la surveillance applicative peut ne jamais s'exécuter.

Le script de support utilisateur devrait refléter cette complexité sans noyer les utilisateurs dans du jargon. Il peut dire que certains utilisateurs sont incapables d'atteindre le service car la résolution de noms est altérée, que l'application elle-même est surveillée et que les équipes travaillent avec les fournisseurs DNS. Il peut fournir des canaux alternatifs si disponibles. Un langage clair réduit le dépannage répété par les utilisateurs qui ne peuvent pas résoudre une panne DNS faisant autorité depuis leurs ordinateurs portables.

La prévention des botnets est lente, donc la préparation client doit être rapide

Mirai a montré que des appareils IoT non sécurisés peuvent créer un trafic qui submerge des cibles bien dotées en ressources. Le travail politique sur la sécurité IoT, l'étiquetage des appareils, les capacités de base, les identifiants par défaut et le support des mises à jour est nécessaire. Il est aussi lent. Les appareils restent déployés pendant des années, les propriétaires peuvent ne pas les corriger, les fabricants peuvent disparaître et le code source peut être réutilisé. Un client qui dépend du DNS ne peut pas rendre sa continuité conditionnelle à l'amélioration préalable de l'écosystème des botnets.

Cela ne signifie pas que la prévention des botnets est hors de propos. Cela signifie que les couches devraient être honnêtes. Les gouvernements, les fabricants, les FAI et les communautés de sécurité devraient réduire le carburant des botnets. Les fournisseurs DNS devraient construire et acheter une capacité d'atténuation. Les clients devraient concevoir un basculement. Les utilisateurs devraient recevoir une communication claire. Aucune couche unique ne peut porter tout le fardeau, et l'échec d'une couche ne devrait pas excuser la négligence d'une autre.

Cette vue en couches est utile pour les conseils. Un conseil peut demander si le problème DDoS est "le travail du fournisseur". La réponse est en partie oui, en partie non. Le fournisseur doit défendre son infrastructure. Le client doit décider si un seul fournisseur suffit pour le processus métier en jeu. Le conseil possède cette acceptation du risque. Si un chemin critique de revenus ou de service public repose sur un seul fournisseur DNS faisant autorité, c'est une dépendance au niveau du conseil.

Le dossier public devrait distinguer panne et dépendance

Après un incident DNS, les reportages publics énumèrent souvent les marques affectées. C'est utile pour montrer l'ampleur, mais cela peut brouiller la causalité. Un service nommé peut être inaccessible pour certains utilisateurs car son fournisseur DNS est attaqué, tandis que l'application propre du service reste saine. Un autre service peut être affecté différemment en raison de sa propre configuration. Un troisième peut être protégé par un DNS multi-fournisseur ou des enregistrements en cache. La responsabilité s'améliore lorsque les rapports distinguent la panne du fournisseur, la dépendance du client et l'impact utilisateur.

La même distinction devrait apparaître dans les post-mortems d'entreprise. Un client devrait dire si son application a échoué, si la résolution DNS a échoué, si le basculement a fonctionné et ce qu'il changera. Si le client dit seulement "une panne tierce nous a affectés", les lecteurs ne peuvent pas juger si le client avait une architecture raisonnable. S'il dit seulement "le service était indisponible", les lecteurs ne peuvent pas identifier la dépendance. Le bon langage est spécifique sans partager de détails sensibles.

Les post-mortems des fournisseurs devraient de même éviter de traiter les clients comme une catégorie unique. Certains clients peuvent avoir besoin d'une meilleure architecture. Certains peuvent avoir besoin de meilleurs conseils. Certains peuvent avoir été affectés malgré une conception solide car les conditions d'attaque ont dépassé les hypothèses. Les détails spécifiques au client peuvent être confidentiels, mais les leçons agrégées peuvent encore être partagées. Un marché apprend plus vite lorsque les post-mortems des fournisseurs et des clients parlent en catégories compatibles.

Le test de responsabilité est ennuyeux par conception

Le meilleur programme de résilience DNS est intentionnellement ennuyeux. Il maintient les zones synchronisées. Il teste le basculement régulièrement. Il protège l'accès au registre. Il documente DNSSEC. Il surveille depuis de nombreux endroits. Il maintient des canaux de statut indépendants. Il forme plus d'une personne. Il enregistre les décisions. Il examine les preuves du fournisseur. Il classe les services par préjudice utilisateur. Il fait ces choses avant qu'un botnet célèbre ne ramène la leçon à la une.

Les contrôles ennuyeux sont faciles à reporter car le DNS fonctionne habituellement. L'attaque Dyn a montré le coût de cette complaisance. Lorsque la couche faisant autorité échoue, l'incident semble soudain pour les utilisateurs même si les décisions architecturales étaient anciennes. La responsabilité signifie rendre ces vieilles décisions visibles pendant qu'il est encore temps de les changer.

L'Internet public dépend d'une chaîne de confiance et d'accessibilité que la plupart des utilisateurs ne voient jamais. Dyn a rendu un maillon visible. La réponse responsable n'est pas la panique, le blâme ou une règle universelle selon laquelle chaque service a besoin de la même architecture coûteuse. C'est une question disciplinée: pour ce service, avec cette conséquence publique ou commerciale, pouvons-nous prouver que les utilisateurs nous trouveront encore lorsque le chemin DNS principal est attaqué?

Le propriétaire du basculement ne devrait pas être ambigu

Le DNS se situe entre les équipes. L'infrastructure peut posséder la zone. La sécurité peut posséder le risque DDoS. Les équipes applicatives peuvent posséder les points de terminaison. Le marketing peut posséder les domaines. Le juridique peut posséder les contrats de registre. Le support client peut posséder la communication de statut. Lors d'une attaque de fournisseur, l'ambiguïté devient retard. L'organisation devrait savoir qui peut déclarer le basculement DNS, qui peut changer la délégation, qui peut approuver les actions DNSSEC, qui peut mettre à jour les messages de statut et qui peut accepter le risque orienté client.

Le propriétaire devrait avoir l'autorité avant l'incident. Si le basculement nécessite une réunion d'urgence de personnes qui n'ont jamais pratiqué ensemble, le plan est fragile. La décision peut encore inclure des vérifications, mais les vérifications devraient être répétées. Un propriétaire de basculement nommé ne signifie pas qu'une personne agit seule. Cela signifie que l'organisation sait quel rôle coordonne la décision.

Le contrôle du registre fait partie de la même dépendance

De nombreux plans DNS sous-pondèrent l'accès au registre. Si l'organisation a besoin de changer la délégation des serveurs de noms ou les enregistrements DS, les identifiants du registre, l'authentification multifacteur, l'état de verrouillage et les workflows d'approbation comptent. Un incident DNS au niveau du fournisseur peut empirer si le compte de registre est inaccessible, trop protégé sans procédure d'urgence, ou détenu par un employé parti. La préparation du registre devrait être testée avec le même sérieux que la préparation du fournisseur DNS.

Le test devrait éviter les changements en direct risqués, mais il peut vérifier qui a accès, quelles approbations sont nécessaires, comment les verrous sont gérés, comment les contacts d'urgence fonctionnent et comment les changements seraient annulés. Il devrait aussi vérifier que les communications du registre sont indépendantes du domaine affecté. Si les seules personnes qui peuvent approuver un changement reçoivent des messages via un e-mail dont le domaine dépend du même chemin DNS, le processus peut échouer au pire moment.

Les preuves client devraient être conservées pour une allocation ultérieure

Après une panne DNS, les clients peuvent avoir besoin d'allouer le préjudice entre la panne du fournisseur, leur propre architecture, le comportement du résolveur amont et les problèmes applicatifs. Cette allocation nécessite des preuves. Les journaux de surveillance, les messages de statut du fournisseur, les tests de résolveur, les rapports d'impact client, les tickets de support et les décisions internes devraient être conservés. Sans eux, le post-mortem devient mémoire et blâme.

La conservation des preuves aide aussi à décider si l'architecture doit changer. Si la panne n'a affecté que les utilisateurs dans certaines régions, la réponse peut différer d'une panne globale. Si le DNS secondaire a répondu correctement mais que l'application a encore échoué, le plan DNS n'est peut-être pas le problème principal. Si les clients ne pouvaient pas atteindre la page de statut, l'architecture de communication nécessite du travail. Si la validation DNSSEC a échoué lors du basculement, les équipes de sécurité et DNS ont besoin d'un plan de réparation conjoint.

Les preuves devraient être examinées alors que l'incident est encore frais. Attendre des mois transforme les faits techniques en folklore. Un examen court et discipliné peut identifier les enregistrements à conserver, les décisions à revoir et les tests à relancer. L'incident Dyn reste précieux car il encourage cette habitude avant la prochaine attaque au niveau du fournisseur.

Les propriétaires de service devraient connaître la conséquence utilisateur d'une panne DNS

Le risque DNS devrait être traduit pour chaque propriétaire de service. Une équipe qui gère une API publique, une page de paiement, un point de terminaison d'identité, un site d'information d'urgence ou un portail client devrait savoir ce que les utilisateurs perdent si le nom ne peut pas être résolu. Elle devrait savoir si les enregistrements en cache fournissent un coussin court, si les utilisateurs mobiles sont affectés différemment des utilisateurs d'entreprise, et si le personnel de support peut offrir une alternative utilisable.

Sans cette traduction, le DNS reste une abstraction d'infrastructure jusqu'à ce que la panne atteigne les clients.

Le propriétaire de service devrait aussi décider à l'avance quel niveau de risque résiduel est acceptable. Certains services peuvent tolérer un seul fournisseur si la conséquence utilisateur est faible. D'autres ont besoin d'un DNS secondaire, d'un statut indépendant et d'exercices fréquents car le préjudice public ou commercial est élevé. Cette décision devrait être documentée comme une acceptation du risque, et non cachée dans les paramètres techniques par défaut.

Les exercices DNS devraient inclure l'horloge métier

Un exercice DNS technique peut réussir alors que le métier ne parvient toujours pas à agir à temps. L'exercice devrait inclure l'horloge métier: quand le préjudice client commence, quand le volume de support augmente, quand un avis juridique ou réglementaire peut être nécessaire, quand les revenus ou les délais de service public sont affectés, et quand les dirigeants doivent décider d'activer des arrangements secondaires. Ces seuils varient par service, donc ils devraient être fixés par les propriétaires de service avec les équipes d'infrastructure et de sécurité.

L'exercice devrait aussi tester le rollback. Les changements DNS d'urgence peuvent résoudre un problème et en créer un autre si des enregistrements obsolètes, des paramètres DNSSEC, des verrous de registre ou des dépendances applicatives ne sont pas restaurés soigneusement. Un plan de basculement responsable inclut donc le chemin de retour au service normal, la preuve que le service normal est sûr, et la communication qui informe les utilisateurs que le problème est clos. La leçon de Dyn n'est pas seulement comment s'éloigner d'un chemin attaqué.

C'est comment prouver que l'organisation peut gérer tout le cycle de vie de la dépendance sous pression.