Plus de 70 % des requêtes racines DNS sont inutiles

Imaginez que sept courriels sur dix dans votre boîte de réception soient des spams. Imaginez maintenant que cela se produise à chaque seconde, dans tous les coins de l'internet, pas seulement dans votre boîte de réception, mais dans l'épine dorsale même du fonctionnement de l'internet. Telle est la réalité à laquelle sont confrontés les serveurs racine du système de noms de domaine (DNS) de l'internet, qui reçoivent l'écrasante majorité du trafic "indésirable".

Des recherches récentes montrent que plus de 72 % des requêtes adressées aux serveurs DNS racine sont indésirables, la plupart d'entre elles portant sur des domaines qui n'existent même pas. Si ce trafic peut sembler anodin, il représente en réalité un sérieux défi pour la stabilité, la sécurité et les performances de l'internet.

Cet article de blog explique ce qu'est ce trafic indésirable, pourquoi il est important et ce que l'on peut faire pour réduire son impact.

Notre analyse du trafic vers le serveur b.root a révélé que plus de 72 % de toutes les requêtes entrantes étaient indésirables. Deux grands coupables se détachent :

1. Requêtes répétitivesIl s'agit de demandes fréquentes pour les mêmes TLD à intervalles rapprochés, généralement causées par des systèmes mal configurés ou des mécanismes de relance trop agressifs.
2. Requêtes pour des TLD non existants (NXDOMAIN)Ces requêtes dominent le trafic indésirable. Ils proviennent souvent de :
   • Logiciel malveillant générant des noms de domaine aléatoires.
   • Les fautes de frappe et les logiciels mal configurés.
   • Appareils IoT hérités dont les paramètres DNS sont obsolètes.
   • Analyse ou reconnaissance malveillante.

Comme ces TLD n'existent pas, les serveurs racine ne peuvent pas les résoudre. Ils doivent néanmoins traiter et répondre, gaspillant ainsi une puissance de calcul et une bande passante précieuses.

Si la majeure partie de ce trafic indésirable n'a aucune incidence sur le chargement de votre site web préféré, pourquoi cela importe-t-il ? La réponse réside dans la résilience et les performances de l'internet.

1. Dégradation des performancesLes requêtes indésirables consomment des ressources, ce qui peut entraîner des retards lors de pics de charge ou d'attaques. Même de petites quantités de latence ajoutée se répercutent sur des millions d'utilisateurs.
2. Résilience réduiteLes serveurs racine ont une capacité limitée. Plus la bande passante et le traitement sont gaspillés, moins il reste de marge de manœuvre pour les requêtes légitimes, en particulier dans les périodes de stress, telles que les cyberattaques ou les augmentations de trafic.
3. Augmentation des coûts et de la consommation d'énergieDes milliards de requêtes inutiles signifient des milliards de cycles de CPU gaspillés. Cela se traduit par une augmentation des coûts opérationnels et de la consommation d'électricité, ce qui soulève des questions en matière de développement durable.
4. Risques pour la sécuritéLe trafic indésirable peut masquer ou préfigurer des cybermenaces. Des pics soudains dans certains modèles, par exemple, peuvent indiquer de nouvelles campagnes de logiciels malveillants ou l'activité d'un réseau de zombies.

Il est difficile d'identifier chaque source, mais les données révèlent l'existence de plusieurs délinquants récurrents :

• Les grands fournisseurs d'accès à Internet dont les routeurs ou les appareils des clients sont mal configurés.
• Les dispositifs de l'internet des objets hérités qui utilisent encore des microprogrammes obsolètes.
• Les réseaux de zombies qui génèrent un grand nombre de fausses demandes de domaines.

Lorsqu'ils sont mis en correspondance avec les données au niveau du réseau (systèmes autonomes ou ASN), certains fournisseurs se distinguent par des volumes disproportionnés de trafic NXDOMAIN. Cela crée des opportunités de sensibilisation et de remédiation ciblées.

Paradoxalement, si le trafic indésirable est un fardeau, il fournit également des informations précieuses. En étudiant les schémas des requêtes indésirables, les chercheurs peuvent détecter de nouvelles menaces, identifier les systèmes mal configurés dans la nature et orienter les améliorations des protocoles DNS.

Ainsi, le trafic indésirable n'est pas seulement du bruit. C'est aussi un outil de diagnostic de la santé de l'internet. Mais pour que cela fonctionne, nous avons besoin d'une surveillance continue, d'une collaboration et de mesures proactives pour réduire la charge sur les serveurs racine.

Les serveurs racine ne sont pas le seul système nécessaire pour nettoyer le DNS. Un effort coordonné, à plusieurs niveaux, impliquant les résolveurs, les opérateurs racine, les développeurs de logiciels et les organismes de normalisation est nécessaire.

Voici quelques mesures concrètes :

• Validez les TLD localement: Utilisez des listes actualisées de TLD valides afin que les résolveurs puissent bloquer les requêtes non valides avant qu'elles n'atteignent la racine.
• Mettez en place des zones de politique de réponse (RPZ): Définissez des réponses personnalisées pour les requêtes manifestement non valides, par exemple en renvoyant 0.0.0.0.
• Mettez en cache et limitez le débit des réponses NXDOMAIN: Cela permet d'éviter l'afflux répété des mêmes demandes non valides.

• Détecter et atténuer les schémas abusifs: Les gros volumes de requêtes provenant d'un seul sous-réseau peuvent être signalés et leur débit limité.
• Améliorez la mise en cache et le filtrage: Des logiciels plus intelligents peuvent réduire les frais généraux et améliorer l'efficacité.

• Améliorer les protocoles DNS: Les informations sur le trafic indésirable peuvent guider les nouvelles normes de l'IETF afin de rendre le DNS plus résistant.
• Étendre les déploiements anycast: Un plus grand nombre d'instances de serveurs racine dans les régions mal desservies permet de répartir la charge et de réduire le risque de surcharge localisée.

Le fait que plus de 70 % des requêtes de la racine du DNS soient inutiles est à la fois stupéfiant et insoutenable. Si l'on n'y prend garde, ce phénomène érode les performances, la résilience et la confiance dans l'un des systèmes les plus critiques de l'internet.

La bonne nouvelle, c'est qu'il existe des solutions. En validant les requêtes localement, en filtrant les requêtes non valides, en améliorant les opérations du serveur racine et en poussant à l'élaboration de normes plus intelligentes, nous pouvons rendre l'écosystème DNS plus efficace et plus sûr. Ma bourse de recherche Pulse vise à résoudre ce problème en proposant un nouveau système/une nouvelle approche pour les résolveurs DNS. Cette solution (qui sera détaillée dans un prochain billet de blog) traiterait la plupart des requêtes indésirables à la source avant même qu'elles n'entrent dans l'écosystème DNS au sens large.

La prochaine fois que votre navigateur chargera un site web en quelques millisecondes, rappelez-vous qu'une vaste infrastructure invisible l'a rendu possible, et qu'une grande partie de cette infrastructure est actuellement encombrée de déchets numériques. Il est temps de la nettoyer pour un internet plus rapide, plus sûr et plus résistant.

Dipsy Desai est doctorant à l'Université de Californie du Sud et 2025 Pulse Research Fellow.

Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l'Internet Society.

Photo de Claudio Schwarz sur Unsplash