Qu’est-ce qu’une attaque par fragmentation DDoS IP/ICMP ?
L'attaque DDoS par fragmentation du protocole Internet (IP)/Internet Control Message Protocol (ICMP) est une forme courante d' attaque par déni de service . Dans une telle attaque, des mécanismes de fragmentation des datagrammes sont utilisés pour submerger le réseau.
La fragmentation IP se produit lorsque les datagrammes IP sont divisés en petits paquets, qui sont ensuite transmis sur le réseau et finalement réassemblés dans le datagramme d'origine, dans le cadre du processus de communication normal. Ce processus est nécessaire pour respecter les limites de taille que chaque réseau peut gérer. Une telle limite est décrite comme une unité de transmission maximale (MTU).
Lorsqu’un paquet est trop volumineux, il doit être divisé en fragments plus petits pour être transmis avec succès. Cela entraîne l'envoi de plusieurs paquets, l'un contenant toutes les informations sur le paquet, y compris les ports source/destination, la longueur, etc. Il s'agit du fragment initial.
Les fragments restants incluent uniquement un en-tête IP (en-tête IP) ainsi qu'une charge utile de données. Ces fragments ne contiennent aucune information sur les protocoles, la capacité ou les ports.
Les attaquants peuvent utiliser la fragmentation IP pour cibler les systèmes de communication, ainsi que les composants de sécurité. Les attaques par fragmentation basées sur ICMP envoient souvent de faux fragments qui ne peuvent pas être défragmentés. Cela entraîne à son tour le placement de fragments dans la mémoire temporaire, occupant de la mémoire et, dans certains cas, épuisant toutes les ressources mémoire disponibles.
Signes d’une attaque DDoS par fragmentation IP/ICMP
La fragmentation IP/ICMP bombarde la destination avec des paquets fragmentés
La fragmentation IP/ICMP bombarde la destination avec des paquets fragmentés, l'obligeant à utiliser de la mémoire pour réassembler tous les fragments et submerger le réseau ciblé.
De telles attaques se manifestent de différentes manières :
- Inondation UDP - Dans ce type d'attaque DDoS, les attaquants utilisent un botnet pour envoyer de grands volumes de fragments provenant de plusieurs sources. Dans de nombreux cas, le récepteur ne verra pas le fragment de départ (ces fragments sont souvent perdus dans le chaos des paquets entrants). Il voit juste beaucoup de paquets sans fragments d'en-tête de protocole. Ces fragments non initiaux sont délicats car ils peuvent appartenir à une session légitime, mais dans la plupart des cas, il s'agira de trafic indésirable. Le destinataire n’a aucune idée de ce qui est légitime et de ce qui ne l’est pas, car le fragment original a été perdu.
- Attaque DDoS par fragmentation UDP et ICMP - Dans ce type d'attaque DDoS, de faux paquets UDP ou ICMP sont transmis. Ces paquets sont conçus pour donner l'impression qu'ils sont plus grands que la MTU du réseau, mais seules des parties du paquet sont réellement envoyées. Étant donné que les paquets sont faux et ne peuvent pas être réassemblés, les ressources du serveur sont rapidement consommées, ce qui finit par rendre le serveur indisponible pour le trafic légitime.
- Attaque par fragmentation TCP DDoS - Ce type d'attaque DDoS, également connu sous le nom d' attaque Teardrop , cible les mécanismes de réassemblage TCP/IP. Dans ce cas, les paquets fragmentés ne seront pas réassemblés. En conséquence, les paquets de données se chevauchent et le serveur ciblé devient complètement surchargé et finit par cesser de fonctionner.
Pourquoi les attaques par fragmentation IP/ICMP sont-elles dangereuses ?
Les attaques par fragmentation IP/ICMP sont très dangereuses
Les attaques par fragmentation IP/ICMP, comme de nombreuses autres attaques DDoS, submergeront les ressources du serveur cible en raison du volume important de trafic. Cependant, cette attaque DDoS forcera également le serveur cible à utiliser des ressources pour tenter de réassembler les paquets, ce qui entraîne souvent le crash des périphériques réseau et des serveurs. Enfin, comme les fragments non fragmentés ne contiennent initialement aucune information sur le service auquel ils appartiennent, il est difficile de décider quels paquets sont sûrs et lesquels ne le sont pas.
Comment atténuer et prévenir les attaques par fragmentation IP/ICMP ?
L’approche permettant de prévenir les attaques DDoS par fragmentation IP/ICMP dépend du type et de l’étendue de l’attaque.
L’approche permettant de prévenir les attaques DDoS par fragmentation IP/ICMP dépend du type et de l’étendue de l’attaque. Les méthodes d'atténuation les plus courantes consistent à garantir que les paquets malveillants n'atteignent pas les hôtes ciblés. Cela implique d'examiner les paquets entrants pour déterminer s'ils violent les règles de fragmentation.
Une méthode potentielle d'atténuation des attaques par déni de service consiste à bloquer tous les fragments autres que le fragment de départ, mais cela entraînerait des problèmes avec le trafic légitime dépendant de ces fragments. Une meilleure solution consiste à utiliser la limitation de débit, qui supprimera la majorité des paquets (bons et mauvais, car la limitation de débit ne fait pas la différence entre eux) et le serveur cible attaqué ne sera pas affecté.
Cette approche risque de créer des problèmes avec les services légitimes qui reposent sur des fragments, mais le compromis en vaut peut-être la peine. Aucune méthode n’apporte un succès à 100 %. Si vous utilisez des services qui reposent sur des fragments, tels que DNS, vous pouvez mettre sur liste blanche les serveurs spécifiques sur lesquels vous comptez et utiliser la limitation de débit pour le reste.
Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.
Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.
Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.
Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.
Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.
Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !
WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.
La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.
La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.
Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.
