DNS Hijacking : Détection et Protection

Détectez et prévenez les détournements DNS qui redirigent votre trafic vers des serveurs malveillants.

Le DNS hijacking est une attaque où un acteur malveillant modifie vos enregistrements DNS pour rediriger votre trafic vers des serveurs qu'il contrôle. Cela peut se faire en compromettant votre compte registrar, vos serveurs DNS, ou via une attaque man-in-the-middle. Les conséquences sont graves : vol de credentials, interception de données, defacement du site. La détection précoce est cruciale car les utilisateurs voient un site qui semble légitime mais qui est en fait une copie malveillante.

Signes d'un DNS Hijacking

  • Votre site pointe vers une IP différente de celle attendue
  • Les utilisateurs rapportent des avertissements SSL (certificat invalide)
  • Changements DNS dans votre panel que vous n'avez pas effectués
  • Trafic anormal ou absence soudaine de trafic légitime

Vecteurs d'Attaque

  • Compromission du registrar : L'attaquant obtient accès à votre compte registrar (phishing, mot de passe faible) et modifie les NS ou les enregistrements.
  • Attaque sur le provider DNS : Le provider DNS lui-même est compromis, permettant la modification de zones multiples.
  • BGP hijacking : L'attaquant annonce de fausses routes BGP pour intercepter le trafic vers les serveurs DNS.
  • seo.dns_hijacking.cause_4_title seo.dns_hijacking.cause_4_desc

Vérification et Réponse

  1. Comparez l'IP actuelle avec celle attendue : dig +short example.com depuis plusieurs locations.
  2. Vérifiez les logs d'accès de votre registrar pour détecter des connexions suspectes.
  3. Consultez l'historique DNS avec SecurityTrails ou DNSHistory pour voir les changements.
  4. En cas de hijacking confirmé : changez tous vos mots de passe et contactez votre registrar immédiatement.

Détection Continue avec MoniTao

MoniTao surveille vos DNS 24/7 pour détecter les hijackings :

  • Alerte immédiate si vos enregistrements DNS changent de valeur
  • Détection des changements de NS non planifiés
  • Vérification de cohérence depuis multiples locations mondiales

Protection Contre le Hijacking

  • Activez la 2FA sur votre compte registrar et DNS provider
  • Activez le registry lock pour empêcher les modifications non autorisées
  • Déployez DNSSEC pour authentifier cryptographiquement vos enregistrements
  • Surveillez vos enregistrements critiques avec MoniTao

FAQ - DNS Hijacking

Comment savoir si mon DNS a été hijacké ?

Vérifiez que l'IP retournée par dig correspond à celle attendue. MoniTao vous alerte automatiquement en cas de changement.

Combien de temps pour corriger un hijacking ?

Une fois corrigé côté DNS, comptez le temps du TTL pour propagation. Avec un TTL bas, quelques minutes. TTL élevé = plusieurs heures.

DNSSEC protège-t-il contre le hijacking ?

Partiellement. DNSSEC empêche la falsification en transit mais pas la modification à la source si votre compte registrar est compromis.

Que faire si mon registrar refuse d'agir ?

Contactez le registry du TLD (.com = Verisign, .fr = AFNIC). Ils peuvent intervenir en cas de hijacking avéré.

Liens utiles

Prêt à dormir sur vos deux oreilles ?

Commencez gratuitement, sans carte bancaire.

Créer mon compte Voir les tarifs