Source: NETSCOUT (netscout.com), billet de blog par John Kristoff et Max Resing, publié le 17 décembre 2025. Le rapport examine la pression exercée par les attaques DDoS sur les serveurs racine DNS et met en lumière la robustesse de ce sous-système critique d’Internet.

Principaux constats 🧭

  • Haute résilience et disponibilité du système des racines DNS.
  • Anycast BGP comme mécanisme clé de résilience et d’isolement des attaques.
  • Trafic de flood et de nuisance quotidien significatif.
  • Forte hétérogénéité du trafic entre instances (A à M) selon la topologie et la distribution des instances.

Analyse des événements 📈 NETSCOUT, via la plateforme de visibilité ATLAS, recense 38 événements DDoS visant des serveurs racine. Le pic volumétrique observé atteint 21 Gb/s contre le serveur A-root le 17 août 2025. Les instances A et M subissent une plus grande variété de vecteurs d’attaque, alors que D et H–L sont principalement associées à des observations « total traffic » et ICMP (souvent des sondes ou effets sympathiques d’attaques). Le jeu de données n’observe aucune attaque sur g.root-servers.net. Les différences de charge par instance s’expliquent par la sélection des résolveurs, la connectivité topologique, la stratégie anycast et la distribution géographique des instances (avec la spéculation que « A » puisse être ciblé par effet d’ordre alphabétique).

Caractéristiques du trafic et résilience 🌐🛡️ Malgré une surreprésentation de trafic illégitime vers la racine, les volumes en régime nominal restent modestes (dizaines de Mb/s), du fait de requêtes DNS courtes et stateless. Les attaques TCP dans le DNS demeurent rares, et une partie du trafic ICMP reflète des activités de sondage liées aux attaques/défenses. L’anycast répartit les requêtes et isole les sources d’attaque localement, au prix d’une visibilité externe plus limitée sur chaque instance, mais avec un gain substantiel en robustesse opérationnelle.

Conclusion Article de type analyse de menace présentant des observations chiffrées (ATLAS) et des enseignements sur la résilience des serveurs racine DNS, avec un rappel des mécanismes clefs (anycast, distribution des instances) et des recommandations outillées du fournisseur.

🔗 Source originale : https://www.netscout.com/blog/asert/dns-root-server-attacks

🖴 Archive : https://web.archive.org/web/20251226120849/https://www.netscout.com/blog/asert/dns-root-server-attacks