Ping flood

L'équipe éditoriale IONOS22/09/20206 mins

Sommaire

Le ping flood est une forme d’attaque par déni de service. L’attaque provoque donc un « déni de service ». Vous pouvez vous représenter cette attaque comme un canular téléphonique : un hacker malveillant appelle sans cesse et raccroche immédiatement. La liaison est ainsi bloquée et indisponible. Il n’est alors plus possible de répondre aux appels légitimes.

Les attaques de flood connues comme le ping flood, le HTTP flood, SYN Flood et l’UDP Flood consistent à saturer un système cible avec des demandes insensées jusqu’à ce qu’il s’écroule. Le ping flood ne doit pas être confondu avec le ping of death qui provoque le crash du système cible sans le surcharger.

Qu’est-ce qu’un ping flood ?

Le ping flood est une cyberattaque visant différents systèmes connectés à Internet. Les systèmes attaqués peuvent être aussi bien des serveurs que des routeurs ou des ordinateurs de particuliers.

D’un point de vue technique, le ping flood repose sur l’Internet Control Message Protocol (ICMP). Ce protocole et la commande ping correspondante sont normalement utilisés pour réaliser des tests sur le réseau. Un ping flood provoque la surcharge de l’ordinateur cible avec des paquets « Echo Request » ICPM. Si le hacker dispose de plus de bande passante que la victime, cette dernière est évacuée du réseau.

Fonctionnement du ping flood

Le fonctionnement du ping flood est simple :

Le hacker envoie des paquets « Echo Request » par vague à la machine de la victime.
Cette dernière répond avec des paquets « Echo Reply ».

Chaque paquet « Echo Request » entrant demande de la bande passante à la victime. Comme un paquet « Echo Reply » est renvoyé pour chaque paquet entrant, le trafic réseau sortant implique un volume de données tout aussi élevé. Si le hacker dispose de suffisamment de bande passante, il peut exploiter toutes les capacités réseau de la victime à disposition. Le trafic réseau légitime est alors interrompu ou s’arrête complètement.

Le ping flood peut être une attaque DoS ou DDoS selon que l’attaque provienne d’un ordinateur individuel ou d’un réseau d’ordinateurs.

Le hacker inonde la victime avec un flot de paquets de données.

Attaque ping flood sous forme de Denial of Service (DoS)

Dans la variante la plus simple de cette attaque, le hacker (H) envoie les paquets « Echo Request » à la victime (V) depuis une seule machine. Pour ne pas dévoiler son identité, le hacker usurpe une adresse IP. Un ordinateur au hasard accessible à cette adresse IP (O) sera alors bombardé par les paquets « Echo Reply » correspondants. Cet effet de rétrodiffusion est également appelé « backscatter ». Dans certaines variantes de ping flood, notamment dans les attaques par rebond, la rétrodiffusion est utilisée comme une arme à part entière.

Pour envoyer un ping flood contre sa victime, le hacker utilise la commande ping ou une alternative moderne telle que l’outil hping. L’attaque commence sur l’invite de commande. Le ping flood est déclenché à l’aide d’une commande conçue spécifiquement pour l’attaque. Pour des raisons de sécurité, nous ne pouvons présenter ici qu’un modèle approximatif du code hping utilisé :

hping --icmp --flood --rand-source -p <Port> <Adresse IP>

Jetons un œil aux différentes options :

L’option --icmp indique à l’outil d’utiliser l’ICMP comme protocole.
L’option --flood est tout particulièrement importante ici. Selon la documentation de la commande hping, celle-ci fait en sorte que des paquets soient envoyés aussi rapidement que possible. D’autre part, cette option induit que les paquets « Echo Reply » entrants seront rejetés sans être pris en compte. Par conséquent, au lieu d’envoyer un ping et d’attendre une réponse comme dans une utilisation normale de la commande ping, les pings sont envoyés à répétition aussi rapidement que possible.
L’option --rand-source travestit l’adresse IP de l’expéditeur. Une adresse IP aléatoire est renseignée à la place de la véritable adresse de l’expéditeur.

Attaques ping flood sous forme de Distributed Denial of Service (DDoS)

Pour déclencher un ping flood « distributed », le hacker (H) utilise un botnet (B). Les bots placés sous le contrôle du hacker lancent un ping flood contre la victime (V) sur ordre du hacker. Comme plusieurs ordinateurs se dressent contre une même cible, la bande passante disponible du côté du hacker est nettement plus importante. Seule une cible bien protégée peut résister à ce type d’attaque.

Dans ce scénario, le hacker n’envoie pas les paquets « Echo Request » depuis son ordinateur. Il n’a donc aucune raison de falsifier son adresse IP. Au lieu de cela, les bots agissent depuis leur propre adresse. La rétrodiffusion touche donc sur les ordinateurs zombies du botnet.

Mesure de protection contre les attaques ping flood (ping flood attacks)

Il existe en principe trois méthodes pour se protéger contre les attaques ping flood :

Configurer le système à protéger pour une sécurité élevée

La méthode la plus simple pour se protéger contre les attaques ping flood consiste à désactiver la fonctionnalité ICMP sur l’appareil de la victime. Cette mesure offre une solution immédiate lors d’une attaque mais peut également être mise en place de façon préventive pour réduire la fenêtre d’accès.

Par ailleurs, les routeurs et les pare-feu peuvent être configurés de façon à ce que le trafic réseau malveillant entrant soit identifié et filtré. L’utilisation de technologies de Load Balancing (en français « répartition de charge ») et de Rate Limiting (« limitation du débit ») contribue à la protection contre les attaques DoS.

Utilisation d’un service basé sur le cloud pour affaiblir les attaques par déni de service

Les grands fournisseurs comme Cloudflare mettent à disposition des serveurs dans des centres de données répartis dans le monde entier. Si vous exploitez votre propre site Internet, vous pouvez faire passer votre trafic de données par ces centres de données. Vous disposerez ainsi d’une bande passante nettement plus importante pour absorber les attaques DDoS. D’autre part, le trafic de données est filtré par des systèmes intégrés tels que des pare-feu, des répartiteurs de charge et des limitateurs de débit.

Utilisation d’un matériel spécifique avant le système à protéger

Il est également possible de protéger le système avec un matériel spécifique mais cette solution n’a d’intérêt que pour les entreprises très actives dans le domaine informatique. Ces appareils offrent ou combinent les fonctionnalités de pare-feu, de répartiteurs de charge et de limitateurs de débit et filtrent ou bloquent le trafic réseau malveillant.

Cet article vous a-t-il été utile ?

Articles Populaires

Nom de domaine mail : qu’est-ce que c’est et comment en créer un

Dans cet article dédié, nous vous présentons comment créer une adresse mail avec son…

Comment acheter un nom de domaine ?

Comment enregistrer un nom de domaine avec le domaine de premier et de deuxième niveau que…

Quels types de domaines existe-t-il ?

Quelle est la différence entre un domaine de premier et de deuxième niveau ? Qu’est-ce…

Le Prompt Engineering : explication

Qu’est-ce que le Prompt Engineering ? Comment peut-il améliorer les résultats de ChatGPT…

Aperçu de 7 types de sites Internet : quel site Web correspond à vos besoins ?

Le choix d’un bon type de site Internet est essentiel à la réussite de tout projet en…

L’ingénierie sociale ou la faille humaine

Les systèmes d’effraction les plus efficaces se produisent en général sans avoir recours à de logiciels malveillants. Au lieu de maltraiter les machines avec des attaques DDoS ou de se faufiler grâce à des chevaux de Troie, les nouveaux pirates de la Toile utilisent de plus en…

Sécurité

ARP spoofing : des failles de sécurité dans la sécurité du réseau

Lorsqu’il s’agit de sécurité réseau, les administrateurs se concentrent en priorité sur les attaques venant du Web. Pourtant, souvent, le danger se cache dans le réseau interne. Si le LAN présente des failles de sécurité informatique, la tâche n’en sera que plus facile pour les…

Sécurité

Attaque Man in the Middle (MITM)

Une attaque de « l’homme du milieu » est une agression perfide d’espionnage, qui vise à intercepter les données sensibles d’utilisateurs d’Internet peu méfiants pour les voler ou les manipuler. Pour ceci, les hackers utilisent des méthodes qui permettent de s’interposer entre…

Sécurité
Cryptage

Attaque par déni de service : que se passe-t-il en cas d’attaque DoS ?

Une attaque par déni de service ou attaque DoS est une méthode relativement efficace et simple permettant aux cybercriminels de paralyser un site Internet, un service de messagerie ou tout un réseau. Les entreprises de toute taille peuvent être victimes de ces attaques mais aussi…

Sécurité

sdecoretShutterstock

Utiliser pathping pour identifier les problèmes de transfert de données

Pathping enregistre et analyse le chemin parcouru par les paquets de données et génère des statistiques utiles quant aux performances réseaux. Cet outil de diagnostic répertorie les pertes de paquets de données. Une fois que les données ont été collectées à l’aide de pathping, le…

Tutoriels