CloudFlare s’attaque aux dénis de service visant des DNS

Spécialiste des services d’optimisation des performances de sites Web, via son réseau de distribution de contenus (CDN), CloudFlare a décidé de s’attaquer à la question du trafic DNS et des attaques en déni de service (DoS) visant ces serveurs.

Dans un billet de blog, CloudFlare rappelle l’importance des serveurs DNS : « c’est le bottin de l’Internet et ils sont essentiels à l’utilisabilité du Web. Mais ils constituent également un maillon faible de la sécurité d’Internet ».

Compte de tenu de leur rôle dans la traduction d’adresses canoniques en adresses IP, les serveurs DNS sont une cible de choix des attaques en déni de service visant à réduire la disponibilité de services Web.

Pour lutter contre ces attaques, CloudFlare lance donc un service de DNS virtuel : « un service de proxy DNS » s’appuyant sur l’offre et l’infrastructure existante de l’éditeur contre les DoS distribués (DDoS).

Et d’expliquer comment fonctionne son service : « les requêtes DNS pour les enregistrements du fournisseur de service reçoivent une réponse du point de présence CloudFlare le plus proche. Si la réponse appropriée est disponible dans le cache de CloudFlare, le service renvoie la réponse au visiteur, économisant de la bande passante au serveur de noms d’origine ».

Mais si la réponse n’est pas stockée en cache, CloudFlare va interroger l’un des serveurs DNS d’origine et la retourner au visiteur… tout en la stockant dans son cache pour se préparer à une éventuelle requête à venir.

CloudFlare indique commencer à proposer commercialement son offre de Virtual DNS, après l’avoir testée, courant 2014, auprès de quelques clients, dont DigitalOcean, qui affiche sa satisfaction.