Skip to content

Pourquoi les logs DNS sont-ils utiles pour la détection, et quelles menaces peut-on y trouver ?

Réponse courte

Presque tout passe par le DNS, donc les logs DNS révèlent des menaces que d'autres sources manquent : le beaconing de command-and-control (rappels réguliers vers un domaine), le tunneling et l'exfiltration DNS (gros volume de sous-domaines longs et encodés), et les domaines générés algorithmiquement (DGA). On les détecte via des motifs comme la régularité des requêtes, l'entropie, les types d'enregistrement et le volume, plutôt que par une seule résolution suspecte.

Le DNS est l'une des sources de logs les plus sous-estimées d'un SOC. Comme presque toute action réseau commence par une résolution de nom, le DNS offre une visibilité quasi universelle — et les attaquants en dépendent aussi. C'est une question plutôt senior car la valeur réside dans les motifs, pas dans les requêtes individuelles.

Beaconing de command-and-control

Un malware qui rappelle son serveur résout souvent son domaine C2 à intervalle régulier. Dans les logs DNS, cela apparaît comme des requêtes périodiques et mécaniques vers le même domaine — toutes les 60 secondes, par exemple — avec peu de jitter. Les humains naviguent de façon irrégulière ; les beacons sont métronomiques. Détecter cette régularité (et les domaines rares ou récemment enregistrés) signale un C2 même lorsque le trafic C2 lui-même est chiffré.

Tunneling et exfiltration DNS

Comme le DNS est presque toujours autorisé en sortie, les attaquants l'exploitent comme canal caché. Ils encodent les données volées dans de longs sous-domaines à forte entropie (a8f3...e2.exfil.evil.com) et lisent les réponses (souvent des enregistrements TXT) pour des instructions. Les indices sont une longueur de requête anormale, une forte entropie, des types d'enregistrement inhabituels (beaucoup de TXT ou NULL) et un fort volume de sous-domaines uniques sous un même domaine parent.

Domaines DGA

Certains malwares utilisent des algorithmes de génération de domaines (DGA) pour calculer des centaines de domaines pseudo-aléatoires afin que les défenseurs ne puissent pas en bloquer un seul. La signature est de nombreuses réponses NXDOMAIN (domaine inexistant) pour des noms à forte entropie au look incompréhensible, tandis que le malware cherche celui qui est actif.

Détecter sur les motifs, pas les résolutions isolées

Le fil conducteur : on attrape rarement ces menaces sur une seule requête. On agrège — régularité, entropie, longueur, mix de types d'enregistrement, taux de NXDOMAIN et domaines vus pour la première fois.

Une subtilité moderne

DNS over HTTPS peut masquer les requêtes de vos logs de résolveur, donc les SOC forcent de plus en plus les résolveurs internes et bloquent le DoH externe pour conserver la visibilité.

Pourquoi c'est important

Un analyste qui exploite le DNS pour des motifs comportementaux peut attraper du C2 furtif et de l'exfiltration que les logs endpoint ou proxy manquent — exactement le genre de raisonnement en couches que les recruteurs seniors cherchent à sonder.

Questions de suivi probables

  • À quoi ressemble le beaconing DNS comparé à une navigation normale ?
  • Comment le tunneling DNS fait-il sortir des données, et quel en est l'indice ?
  • En quoi DNS over HTTPS (DoH) complique-t-il la détection basée sur le DNS ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.