Qu’est-ce qu’une attaque par fragmentation DDoS IP/ICMP ?
L'attaque DDoS par fragmentation du protocole Internet (IP)/Internet Control Message Protocol (ICMP) est une forme courante d' attaque par déni de service . Dans une telle attaque, des mécanismes de fragmentation des datagrammes sont utilisés pour submerger le réseau.
La fragmentation IP se produit lorsque les datagrammes IP sont divisés en petits paquets, qui sont ensuite transmis sur le réseau et finalement réassemblés dans le datagramme d'origine, dans le cadre du processus de communication normal. Ce processus est nécessaire pour respecter les limites de taille que chaque réseau peut gérer. Une telle limite est décrite comme une unité de transmission maximale (MTU).
Lorsqu’un paquet est trop volumineux, il doit être divisé en fragments plus petits pour être transmis avec succès. Cela entraîne l'envoi de plusieurs paquets, l'un contenant toutes les informations sur le paquet, y compris les ports source/destination, la longueur, etc. Il s'agit du fragment initial.
Les fragments restants incluent uniquement un en-tête IP (en-tête IP) ainsi qu'une charge utile de données. Ces fragments ne contiennent aucune information sur les protocoles, la capacité ou les ports.
Les attaquants peuvent utiliser la fragmentation IP pour cibler les systèmes de communication, ainsi que les composants de sécurité. Les attaques par fragmentation basées sur ICMP envoient souvent de faux fragments qui ne peuvent pas être défragmentés. Cela entraîne à son tour le placement de fragments dans la mémoire temporaire, occupant de la mémoire et, dans certains cas, épuisant toutes les ressources mémoire disponibles.
Signes d’une attaque DDoS par fragmentation IP/ICMP
La fragmentation IP/ICMP bombarde la destination avec des paquets fragmentés
La fragmentation IP/ICMP bombarde la destination avec des paquets fragmentés, l'obligeant à utiliser de la mémoire pour réassembler tous les fragments et submerger le réseau ciblé.
De telles attaques se manifestent de différentes manières :
- Inondation UDP - Dans ce type d'attaque DDoS, les attaquants utilisent un botnet pour envoyer de grands volumes de fragments provenant de plusieurs sources. Dans de nombreux cas, le récepteur ne verra pas le fragment de départ (ces fragments sont souvent perdus dans le chaos des paquets entrants). Il voit juste beaucoup de paquets sans fragments d'en-tête de protocole. Ces fragments non initiaux sont délicats car ils peuvent appartenir à une session légitime, mais dans la plupart des cas, il s'agira de trafic indésirable. Le destinataire n’a aucune idée de ce qui est légitime et de ce qui ne l’est pas, car le fragment original a été perdu.
- Attaque DDoS par fragmentation UDP et ICMP - Dans ce type d'attaque DDoS, de faux paquets UDP ou ICMP sont transmis. Ces paquets sont conçus pour donner l'impression qu'ils sont plus grands que la MTU du réseau, mais seules des parties du paquet sont réellement envoyées. Étant donné que les paquets sont faux et ne peuvent pas être réassemblés, les ressources du serveur sont rapidement consommées, ce qui finit par rendre le serveur indisponible pour le trafic légitime.
- Attaque par fragmentation TCP DDoS - Ce type d'attaque DDoS, également connu sous le nom d' attaque Teardrop , cible les mécanismes de réassemblage TCP/IP. Dans ce cas, les paquets fragmentés ne seront pas réassemblés. En conséquence, les paquets de données se chevauchent et le serveur ciblé devient complètement surchargé et finit par cesser de fonctionner.
Pourquoi les attaques par fragmentation IP/ICMP sont-elles dangereuses ?
Les attaques par fragmentation IP/ICMP sont très dangereuses
Les attaques par fragmentation IP/ICMP, comme de nombreuses autres attaques DDoS, submergeront les ressources du serveur cible en raison du volume important de trafic. Cependant, cette attaque DDoS forcera également le serveur cible à utiliser des ressources pour tenter de réassembler les paquets, ce qui entraîne souvent le crash des périphériques réseau et des serveurs. Enfin, comme les fragments non fragmentés ne contiennent initialement aucune information sur le service auquel ils appartiennent, il est difficile de décider quels paquets sont sûrs et lesquels ne le sont pas.
Comment atténuer et prévenir les attaques par fragmentation IP/ICMP ?
L’approche permettant de prévenir les attaques DDoS par fragmentation IP/ICMP dépend du type et de l’étendue de l’attaque.
L’approche permettant de prévenir les attaques DDoS par fragmentation IP/ICMP dépend du type et de l’étendue de l’attaque. Les méthodes d'atténuation les plus courantes consistent à garantir que les paquets malveillants n'atteignent pas les hôtes ciblés. Cela implique d'examiner les paquets entrants pour déterminer s'ils violent les règles de fragmentation.
Une méthode potentielle d'atténuation des attaques par déni de service consiste à bloquer tous les fragments autres que le fragment de départ, mais cela entraînerait des problèmes avec le trafic légitime dépendant de ces fragments. Une meilleure solution consiste à utiliser la limitation de débit, qui supprimera la majorité des paquets (bons et mauvais, car la limitation de débit ne fait pas la différence entre eux) et le serveur cible attaqué ne sera pas affecté.
Cette approche risque de créer des problèmes avec les services légitimes qui reposent sur des fragments, mais le compromis en vaut peut-être la peine. Aucune méthode n’apporte un succès à 100 %. Si vous utilisez des services qui reposent sur des fragments, tels que DNS, vous pouvez mettre sur liste blanche les serveurs spécifiques sur lesquels vous comptez et utiliser la limitation de débit pour le reste.
