{"id":974,"date":"2026-03-05T15:53:01","date_gmt":"2026-03-05T07:53:01","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=974"},"modified":"2026-03-05T15:53:01","modified_gmt":"2026-03-05T07:53:01","slug":"comment-eviter-le-detournement-de-dns-avec-le-cdn-de-haute-defense-de-chess-la-resolution-dun-probleme-dacces-a-linternet-ne-peut-se-faire-qua-laide-de-plusieurs-lignes-de-dns-et-de-dnssec","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/974-html","title":{"rendered":"Comment emp\u00eacher le d\u00e9tournement de DNS avec Chess high defence CDN ? Lignes multi-DNS et DNSSEC pour s'assurer que la r\u00e9solution n'est pas alt\u00e9r\u00e9e par des m\u00e9thodes efficaces."},"content":{"rendered":"<p>Quelle est la profondeur de l'eau dans l'industrie des \u00e9checs, ceux qui s'y sont engag\u00e9s comprennent que les attaques DDoS sont monnaie courante, mais ce qui engourdit le cuir chevelu des gens, c'est souvent le genre d'astuces \u201csilencieuses\u201d - telles que le d\u00e9tournement de DNS. Les joueurs entrent \u00e9videmment l'adresse de leur site web officiel, mais les r\u00e9sultats sont dirig\u00e9s vers un site de phishing identique, les mots de passe des comptes, le montant de la recharge sont instantan\u00e9ment ratiss\u00e9s. C'est plus d\u00e9go\u00fbtant que de paralyser directement le service, cela rel\u00e8ve de l'assassinat du c\u0153ur.<\/p>\n<p>J'ai subi ce type de perte dans les premi\u00e8res ann\u00e9es. \u00c0 l'\u00e9poque, je pensais que la s\u00e9curit\u00e9 du serveur pour faire le seau de fer en g\u00e9n\u00e9ral, toutes sortes de d\u00e9fense \u00e9lev\u00e9e, WAF pile pleine, le r\u00e9sultat de l'attaquant n'a pas touch\u00e9 mon serveur, d\u00e9tour direct, sur ma r\u00e9solution DNS tampering. Les utilisateurs ne peuvent tout simplement pas acc\u00e9der \u00e0 la porte de mon serveur, \u00e0 mi-chemin d'\u00eatre enlev\u00e9s. Pendant cette p\u00e9riode, les plaintes \u00e9taient nombreuses, toutes disaient que la recharge n'arrivait pas, login anormal, et ce n'est qu'apr\u00e8s une demi-journ\u00e9e d'enqu\u00eate qu'ils ont r\u00e9agi : le DNS \u00e9tait empoisonn\u00e9.<\/p>\n<p>Le DNS est l\u201c\u201dannuaire\" de l'internet, charg\u00e9 de traduire les noms de domaine en adresses IP. Cependant, le processus traditionnel de requ\u00eate DNS est essentiellement en clair et manque de m\u00e9canismes d'authentification - c'est comme si vous demandiez votre chemin \u00e0 une personne au hasard dans la rue et que cette personne vous indiquait la mauvaise direction sans que vous le sachiez. Un pirate peut alt\u00e9rer les r\u00e9sultats d'une requ\u00eate DNS \u00e0 n'importe quel stade du processus (cache local, r\u00e9solveur r\u00e9cursif, serveur faisant autorit\u00e9).<\/p>\n<p>Dans le domaine des \u00e9checs en particulier, la motivation pour attaquer est trop forte. Le d\u00e9tournement par des groupes de chantage est directement rentable, et le d\u00e9tournement par des concurrents peut vous priver de vos utilisateurs. J'ai en fait test\u00e9 que m\u00eame s'il ne s'agit que d'un court laps de temps pour r\u00e9soudre la mauvaise IP, en l'espace d'une demi-heure, on peut perdre un grand nombre d'utilisateurs actifs et de flux de recharge. Ne croyez pas \u00e0 l'absurdit\u00e9 du \u201cil suffit d'utiliser les DNS publics\u201d, 8.8.8.8 et 114.114.114.114 risquent toujours d'\u00eatre contamin\u00e9s.<\/p>\n<p>Pour emp\u00eacher r\u00e9ellement le d\u00e9tournement de DNS, il faut commencer \u00e0 deux niveaux fondamentaux : a<strong>R\u00e9solution redondante de plusieurs lignes DNS<\/strong>L'autre est<strong>V\u00e9rification de la signature DNSSEC<\/strong>La combinaison de ces deux tactiques \u00e9quivaut \u00e0 la fois \u00e0 des polices d'assurance multiples pour votre nom de domaine et \u00e0 une v\u00e9rification par empreinte num\u00e9rique du processus de r\u00e9solution. La combinaison de ces deux tactiques \u00e9quivaut \u00e0 la fois \u00e0 des polices d'assurance multiples pour votre nom de domaine et \u00e0 une v\u00e9rification par empreinte digitale du processus de r\u00e9solution.<\/p>\n<p>Commen\u00e7ons par les lignes multi-DNS. De nos jours, il est risqu\u00e9 d'h\u00e9berger des services de r\u00e9solution chez un seul fournisseur. Ma strat\u00e9gie actuelle est d'utiliser au moins deux fournisseurs de services DNS en m\u00eame temps, et d'avoir besoin d'un CDN \u00e0 haute d\u00e9fense pour prendre en charge la commutation de r\u00e9solution multi-lignes. Par exemple, j'utilise CDN5 pour la r\u00e9solution primaire, CDN07 pour la r\u00e9solution de secours, et un autre 08Host pour la r\u00e9solution de secours. Notez qu'il ne s'agit pas simplement de mettre en place quelques enregistrements NS et c'est tout, mais de configurer l'onglet<strong>Priorit\u00e9s et bilans de sant\u00e9<\/strong>\u3002<\/p>\n<p>En prenant la configuration de CDN5, je mettrais en place l'automatisation du basculement dans sa console :<\/p>\n<p>Cette configuration signifie que la ligne DNS principale effectuera un contr\u00f4le de sant\u00e9 toutes les 30 secondes, et si le test \u00e9choue deux fois de suite, elle basculera automatiquement sur la ligne de secours. Dans le test r\u00e9el, m\u00eame si la ligne principale est d\u00e9tourn\u00e9e ou pollu\u00e9e, la ligne de secours peut maintenir une r\u00e9solution normale. Mais le c\u0153ur de la multi-ligne est<strong>service h\u00e9t\u00e9rog\u00e8ne<\/strong>--N'optez pas pour plusieurs marques de la m\u00eame entreprise, qui sont susceptibles de partager l'infrastructure et de tout m\u00e9langer.<\/p>\n<p>Cependant, les lignes multiples ne sont qu'une \u201credondance\u201d, et non une protection contre la \u201cfalsification\u201d. Ce qui peut r\u00e9ellement emp\u00eacher la falsification de la r\u00e9solution \u00e0 partir de la racine est DNSSEC (Domain Name System Security Extensions). Il utilise le cryptage asym\u00e9trique pour signer num\u00e9riquement les enregistrements DNS, et le serveur r\u00e9cursif v\u00e9rifie que la signature est valide avant de renvoyer le r\u00e9sultat de la r\u00e9solution. Si la signature ne correspond pas, cela signifie que l'enregistrement a \u00e9t\u00e9 falsifi\u00e9 et la r\u00e9ponse sera rejet\u00e9e directement.<\/p>\n<p>Le d\u00e9ploiement de DNSSEC est un peu plus difficile, mais il en vaut vraiment la peine. Vous devez d'abord activer le support DNSSEC aupr\u00e8s du bureau d'enregistrement du domaine (certains fournisseurs nationaux le cachent un peu plus profond\u00e9ment, vous devez trouver le service client\u00e8le pour l'ouvrir), puis g\u00e9n\u00e9rer des paires de cl\u00e9s :<\/p>\n<p>Apr\u00e8s la g\u00e9n\u00e9ration, vous obtenez les cl\u00e9s publique et priv\u00e9e, la cl\u00e9 priv\u00e9e est conserv\u00e9e pour vous-m\u00eame et la cl\u00e9 publique doit \u00eatre t\u00e9l\u00e9charg\u00e9e dans la console DNS et ajout\u00e9e \u00e0 l'enregistrement DS (Delegation Signer) du nom de domaine. Le bureau d'enregistrement doit soumettre l'enregistrement DS au registre du domaine de premier niveau (par ex. .com). L'authentification en cha\u00eene compl\u00e8te est mise en place.<\/p>\n<p>Mais DNSSEC pr\u00e9sente un inconv\u00e9nient : tous les CDN ne le prennent pas parfaitement en charge. Afin d'\u00e9conomiser des ressources, certains serveurs r\u00e9cursifs de CDN haute-d\u00e9fense de petite taille ne v\u00e9rifient pas du tout les signatures DNSSEC. J'ai march\u00e9 sur la mine, et j'utiliserai certainement la commande dig pour la tester lorsque je choisirai un mod\u00e8le plus tard :<\/p>\n<p>S'il y a un drapeau `ad` (donn\u00e9es authentiques) dans le r\u00e9sultat de retour, cela signifie que le n\u0153ud CDN supporte enti\u00e8rement l'authentification DNSSEC. Actuellement, CDN5 et 08Host ont le support DNSSEC le plus stable, et CDN07 est occasionnellement paresseux dans certains n\u0153uds de bordure sans v\u00e9rification.<\/p>\n<p>En plus des outils techniques, il faut rester en retrait au niveau de l'entreprise. J'ai fait en sorte que les pages critiques pour l'entreprise (par exemple, les pages de recharge) soient accessibles \u00e0 tous les utilisateurs.<strong>Contr\u00f4le de la r\u00e9solution secondaire<\/strong>Apr\u00e8s avoir acquis une adresse IP pour la premi\u00e8re fois, le client v\u00e9rifie que l'adresse IP est l\u00e9gitime en sens inverse, par l'interm\u00e9diaire d'un canal crypt\u00e9 vers le serveur commercial. S'il est d\u00e9tourn\u00e9, il sera au moins alert\u00e9 et bloquera la transaction \u00e0 temps. Le code se pr\u00e9sente comme suit :<\/p>\n<p>Enfin, pour \u00eatre honn\u00eate, l'essence de la s\u00e9curit\u00e9 DNS est la cha\u00eene de confiance, et le CDN de haute d\u00e9fense ne doit pas tra\u00eener les pieds dans ce domaine. Je dois me pencher sur la s\u00e9lection de trois points : la prise en charge de l'acc\u00e8s multi-fournisseurs DNS, l'ouverture de l'authentification DNSSEC pour l'ensemble du n\u0153ud, la r\u00e9solution des anomalies par des alarmes en temps r\u00e9el. Ceux qui ne vous permettent m\u00eame pas de configurer l'enregistrement DS des fournisseurs CDN, passent directement \u00e0 la trappe.<\/p>\n<p>Le secteur des \u00e9checs lui-m\u00eame est sensible et les attaquants sont toujours \u00e0 la recherche de failles. La d\u00e9fense du serveur est encore une fois difficile, et la fuite de DNS est \u00e9galement vaine. Multi-line parsing + DNSSEC + business layer verification, ces trois axes en bas, sans dire infaillible, mais au moins peut faire 99% gangs DNS hijacking prendre l'initiative de contourner. Le reste du 1% devra peut-\u00eatre \u00eatre d\u00e9pass\u00e9 physiquement.<\/p>\n<p>Oh oui, et mesurez r\u00e9guli\u00e8rement la sant\u00e9 de votre r\u00e9solution de domaine avec des outils comme `dnsviz.net` ou `cloudflare-dns.com\/check`. N'attendez pas que les utilisateurs se plaignent - de nos jours, m\u00eame les CDN doivent \u00eatre \u201c\u00e0 l'\u00e9preuve des mats\u201d.<\/p>","protected":false},"excerpt":{"rendered":"<p>Quelle est la profondeur de l'eau dans l'industrie des \u00e9checs, ceux qui s'y sont engag\u00e9s comprennent que les attaques DDoS sont monnaie courante, mais ce qui engourdit le cuir chevelu des gens, c'est souvent le genre d'astuces \u201csilencieuses\u201d - telles que le d\u00e9tournement de DNS. Les joueurs entrent \u00e9videmment l'adresse de leur site web officiel, mais les r\u00e9sultats sont dirig\u00e9s vers un site d'hame\u00e7onnage identique, les mots de passe des comptes, le montant de la recharge sont instantan\u00e9ment ratiss\u00e9s. C'est plus d\u00e9go\u00fbtant que la paralysie directe du service, cela rel\u00e8ve de l'assassinat du c\u0153ur. J'ai v\u00e9cu ce genre de perte dans mes jeunes ann\u00e9es. \u00c0 l'\u00e9poque, je pensais que la s\u00e9curit\u00e9 du serveur pour faire le seau de fer en g\u00e9n\u00e9ral, une vari\u00e9t\u00e9 de haute d\u00e9fense, WAF empil\u00e9 plein, les r\u00e9sultats des attaquants tout simplement n'a pas touch\u00e9 mon serveur, un d\u00e9tour direct, sur mon DNS parsing tampering. Les utilisateurs ne peuvent tout simplement pas acc\u00e9der \u00e0 la porte de mon serveur, \u00e0 mi-chemin d'\u00eatre enlev\u00e9s. Pendant ce temps, les plaintes ont \u00e9t\u00e9 accablantes, toutes disaient que la recharge n'arrivait pas, se connectant anormalement.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-974","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/974","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=974"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/974\/revisions"}],"predecessor-version":[{"id":1151,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/974\/revisions\/1151"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=974"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=974"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=974"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=974"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}