« Sinkholing » : différence entre les versions

Le DNS* sinkholing ou plus simplement le sinkholing est une pratique utilisée pour lutter contre les programmes malveillants (le botnets* par exemple). Le sinkholing consiste à rediriger les noms de domaine* malveillants vers un serveur* (ou plusieurs) non maîtrisés par l’attaquant. Ce détournement peut ainsi empêcher les postes clients compromis de recevoir les commandes du pirate (via le serveur de commande et de contrôle C&C). Cette technique permet également d’analyser le flux reçu, de récupérer les informations transmises et d’établir des statistiques utiles à l’analyse en cybersécurité (répartition des victimes par pays, type d’activité etc.). Si l’intérêt du sinkholing est manifeste pour démanteler des réseaux de botnets par exemple, se pose toutefois la question de la validité juridique du processus. En effet en détournant les flux, le propriétaire du sinkhole a accès aux données exfiltrées par exemple. Sur le plan technique, il convient d’installer un serveur DNS qui va rediriger vers un serveur d’analyse les noms de domaines malveillants sélectionnés.