Le ping flood est une forme d’attaque par déni de service. L’attaque provoque donc un « déni de service ». Vous pouvez vous représenter cette attaque comme un canular téléphonique : un hacker malveillant appelle sans cesse et raccroche immédiatement. La liaison est ainsi bloquée et indisponible. Il n’est alors plus possible de répondre aux appels légitimes.
Les attaques de flood connues comme le ping flood, le HTTP flood, SYN Flood et l’UDP Flood consistent à saturer un système cible avec des demandes insensées jusqu’à ce qu’il s’écroule. Le ping flood ne doit pas être confondu avec le ping of death qui provoque le crash du système cible sans le surcharger.
Le ping flood est une cyberattaque visant différents systèmes connectés à Internet. Les systèmes attaqués peuvent être aussi bien des serveurs que des routeurs ou des ordinateurs de particuliers.
D’un point de vue technique, le ping flood repose sur l’Internet Control Message Protocol (ICMP). Ce protocole et la commande ping correspondante sont normalement utilisés pour réaliser des tests sur le réseau. Un ping flood provoque la surcharge de l’ordinateur cible avec des paquets « Echo Request » ICPM. Si le hacker dispose de plus de bande passante que la victime, cette dernière est évacuée du réseau.
Le fonctionnement du ping flood est simple :
Chaque paquet « Echo Request » entrant demande de la bande passante à la victime. Comme un paquet « Echo Reply » est renvoyé pour chaque paquet entrant, le trafic réseau sortant implique un volume de données tout aussi élevé. Si le hacker dispose de suffisamment de bande passante, il peut exploiter toutes les capacités réseau de la victime à disposition. Le trafic réseau légitime est alors interrompu ou s’arrête complètement.
Le ping flood peut être une attaque DoS ou DDoS selon que l’attaque provienne d’un ordinateur individuel ou d’un réseau d’ordinateurs.
Dans la variante la plus simple de cette attaque, le hacker (H) envoie les paquets « Echo Request » à la victime (V) depuisune seule machine. Pour ne pas dévoiler son identité, le hacker usurpe une adresse IP. Un ordinateur au hasard accessible à cette adresse IP (O) sera alors bombardé par les paquets « Echo Reply » correspondants. Cet effet de rétrodiffusion est également appelé « backscatter ». Dans certaines variantes de ping flood, notamment dans les attaques par rebond, la rétrodiffusion est utilisée comme une arme à part entière.
Pour envoyer un ping flood contre sa victime, le hacker utilise la commande ping ou une alternative moderne telle que l’outil hping. L’attaque commence sur l’invite de commande. Le ping flood est déclenché à l’aide d’une commande conçue spécifiquement pour l’attaque. Pour des raisons de sécurité, nous ne pouvons présenter ici qu’un modèle approximatif du code hping utilisé :
hping --icmp --flood --rand-source -p <Port> <Adresse IP>Jetons un œil aux différentes options :
Pour déclencher un ping flood « distributed », le hacker (H) utilise un botnet (B). Les bots placés sous le contrôle du hacker lancent un ping flood contre la victime (V) sur ordre du hacker. Comme plusieurs ordinateurs se dressent contre une même cible, la bande passante disponible du côté du hacker est nettement plus importante. Seule une cible bien protégée peut résister à ce type d’attaque.
Dans ce scénario, le hacker n’envoie pas les paquets « Echo Request » depuis son ordinateur. Il n’a donc aucune raison de falsifier son adresse IP. Au lieu de cela, les bots agissent depuis leur propre adresse. La rétrodiffusion touche donc sur les ordinateurs zombies du botnet.
Il existe en principe trois méthodes pour se protéger contre les attaques ping flood :
La méthode la plus simple pour se protéger contre les attaques ping flood consiste à désactiver la fonctionnalité ICMP sur l’appareil de la victime. Cette mesure offre une solution immédiate lors d’une attaque mais peut également être mise en place de façon préventive pour réduire la fenêtre d’accès.
Par ailleurs, les routeurs et les pare-feu peuvent être configurés de façon à ce que le trafic réseau malveillant entrant soit identifié et filtré. L’utilisation de technologies de Load Balancing(en français « répartition de charge ») et de Rate Limiting (« limitation du débit ») contribue à la protection contre les attaques DoS.
Les grands fournisseurs comme Cloudflare mettent à disposition des serveurs dans des centres de données répartis dans le monde entier. Si vous exploitez votre propre site Internet, vous pouvez faire passer votre trafic de données par ces centres de données. Vous disposerez ainsi d’une bande passante nettement plus importante pour absorber les attaques DDoS. D’autre part, le trafic de données est filtré par des systèmes intégrés tels que des pare-feu, des répartiteurs de charge et des limitateurs de débit.
Il est également possible de protéger le système avec un matériel spécifique mais cette solution n’a d’intérêt que pour les entreprises très actives dans le domaine informatique. Ces appareils offrent ou combinent les fonctionnalités de pare-feu, de répartiteurs de charge et de limitateurs de débit et filtrent ou bloquent le trafic réseau malveillant.
Les systèmes d’effraction les plus efficaces se produisent en général sans avoir recours à de logiciels malveillants. Au lieu de maltraiter les machines avec des attaques DDoS ou de se faufiler grâce à des chevaux de Troie, les nouveaux pirates de la Toile utilisent de plus en plus la vulnérabilité des individus. Ces méthodes, connues sous le nom d’ingénierie sociale, sont nombreuses et consistent...
Une attaque de « l’homme du milieu » est une agression perfide d’espionnage, qui vise à intercepter les données sensibles d’utilisateurs d’Internet peu méfiants pour les voler ou les manipuler. Pour ceci, les hackers utilisent des méthodes qui permettent de s’interposer entre deux ordinateurs communicants. Nous vous présentons les schémas et modèles d’attaque, ainsi que les mesures de protection...
Lorsqu’il s’agit de sécurité réseau, les administrateurs se concentrent en priorité sur les attaques venant du Web. Pourtant, souvent, le danger se cache dans le réseau interne. Si le LAN présente des failles de sécurité informatique, la tâche n’en sera que plus facile pour les pirates internes. L’ARP spoofing est l’une des méthodes d’attaque les plus répandues. De cette façon, les pirates se...
Une attaque par déni de service ou attaque DoS est une méthode relativement efficace et simple permettant aux cybercriminels de paralyser un site Internet, un service de messagerie ou tout un réseau. Les entreprises de toute taille peuvent être victimes de ces attaques mais aussi des institutions comme l’Assemblée nationale ou des plateformes comme Wikipédia. Mais qu’est-ce que le déni de service...
Offrez un service performant et fiable à vos clients avec l'hébergement web de IONOS.
Créez une adresse personnalisée Affichez votre sérieux sur Internet Nom de domaine inclus