Ping flood

Le ping flood est une forme d’attaque par déni de service. L’attaque provoque donc un « déni de service ». Vous pouvez vous re­pré­sen­ter cette attaque comme un canular té­lé­pho­nique : un hacker mal­veil­lant appelle sans cesse et raccroche im­mé­dia­te­ment. La liaison est ainsi bloquée et in­dis­po­nible. Il n’est alors plus possible de répondre aux appels légitimes.

Les attaques de flood connues comme le ping flood, le HTTP flood, SYN Flood et l’UDP Flood con­sis­tent à saturer un système cible avec des demandes insensées jusqu’à ce qu’il s’écroule. Le ping flood ne doit pas être confondu avec le ping of death qui provoque le crash du système cible sans le sur­char­ger.

Le ping flood est une cy­be­rat­taque visant dif­fé­rents systèmes connectés à Internet. Les systèmes attaqués peuvent être aussi bien des serveurs que des routeurs ou des or­di­na­teurs de par­ti­cu­liers.

D’un point de vue technique, le ping flood repose sur l’Internet Control Message Protocol (ICMP). Ce protocole et la commande ping cor­res­pon­dante sont nor­ma­le­ment utilisés pour réaliser des tests sur le réseau. Un ping flood provoque la surcharge de l’or­di­na­teur cible avec des paquets « Echo Request » ICPM. Si le hacker dispose de plus de bande passante que la victime, cette dernière est évacuée du réseau.

Dans la variante la plus simple de cette attaque, le hacker (H) envoie les paquets « Echo Request » à la victime (V) depuis une seule machine. Pour ne pas dévoiler son identité, le hacker usurpe une adresse IP. Un or­di­na­teur au hasard ac­ces­sible à cette adresse IP (O) sera alors bombardé par les paquets « Echo Reply » cor­res­pon­dants. Cet effet de ré­tro­dif­fu­sion est également appelé « backs­cat­ter ». Dans certaines variantes de ping flood, notamment dans les attaques par rebond, la ré­tro­dif­fu­sion est utilisée comme une arme à part entière.

Pour envoyer un ping flood contre sa victime, le hacker utilise la commande ping ou une al­ter­na­tive moderne telle que l’outil hping. L’attaque commence sur l’invite de commande. Le ping flood est déclenché à l’aide d’une commande conçue spé­ci­fi­que­ment pour l’attaque. Pour des raisons de sécurité, nous ne pouvons présenter ici qu’un modèle ap­proxi­ma­tif du code hping utilisé :

Jetons un œil aux dif­fé­rentes options :

• L’option --icmp indique à l’outil d’utiliser l’ICMP comme protocole.
• L’option --flood est tout par­ti­cu­liè­re­ment im­por­tante ici. Selon la do­cu­men­ta­tion de la commande hping, celle-ci fait en sorte que des paquets soient envoyés aussi ra­pi­de­ment que possible. D’autre part, cette option induit que les paquets « Echo Reply » entrants seront rejetés sans être pris en compte. Par con­sé­quent, au lieu d’envoyer un ping et d’attendre une réponse comme dans une uti­li­sa­tion normale de la commande ping, les pings sont envoyés à ré­pé­ti­tion aussi ra­pi­de­ment que possible.
• L’option --rand-source travestit l’adresse IP de l’ex­pé­di­teur. Une adresse IP aléatoire est ren­seig­née à la place de la véritable adresse de l’ex­pé­di­teur.

Pour dé­clen­cher un ping flood « dis­tri­bu­ted », le hacker (H) utilise un botnet (B). Les bots placés sous le contrôle du hacker lancent un ping flood contre la victime (V) sur ordre du hacker. Comme plusieurs or­di­na­teurs se dressent contre une même cible, la bande passante dis­po­nible du côté du hacker est nettement plus im­por­tante. Seule une cible bien protégée peut résister à ce type d’attaque.

Dans ce scénario, le hacker n’envoie pas les paquets « Echo Request » depuis son or­di­na­teur. Il n’a donc aucune raison de falsifier son adresse IP. Au lieu de cela, les bots agissent depuis leur propre adresse. La ré­tro­dif­fu­sion touche donc sur les or­di­na­teurs zombies du botnet.

Il existe en principe trois méthodes pour se protéger contre les attaques ping flood :

La méthode la plus simple pour se protéger contre les attaques ping flood consiste à dé­sac­ti­ver la fonc­tion­na­lité ICMP sur l’appareil de la victime. Cette mesure offre une solution immédiate lors d’une attaque mais peut également être mise en place de façon pré­ven­tive pour réduire la fenêtre d’accès.

Par ailleurs, les routeurs et les pare-feu peuvent être con­fi­gu­rés de façon à ce que le trafic réseau mal­veil­lant entrant soit identifié et filtré. L’uti­li­sa­tion de tech­no­lo­gies de Load Balancing (en français « ré­par­ti­tion de charge ») et de Rate Limiting (« li­mi­ta­tion du débit ») contribue à la pro­tec­tion contre les attaques DoS.

Les grands four­nis­seurs comme Cloud­flare mettent à dis­po­si­tion des serveurs dans des centres de données répartis dans le monde entier. Si vous exploitez votre propre site Internet, vous pouvez faire passer votre trafic de données par ces centres de données. Vous dis­po­se­rez ainsi d’une bande passante nettement plus im­por­tante pour absorber les attaques DDoS. D’autre part, le trafic de données est filtré par des systèmes intégrés tels que des pare-feu, des ré­par­ti­teurs de charge et des li­mi­ta­teurs de débit.

Il est également possible de protéger le système avec un matériel spé­ci­fique mais cette solution n’a d’intérêt que pour les en­tre­prises très actives dans le domaine in­for­ma­tique. Ces appareils offrent ou combinent les fonc­tion­na­li­tés de pare-feu, de ré­par­ti­teurs de charge et de li­mi­ta­teurs de débit et filtrent ou bloquent le trafic réseau mal­veil­lant.