Un ping flood (ou ICMP flood) est une forme simple d’attaque par déni de service, où l'attaquant inonde le serveur cible de requêtes ping.

Ce type d’attaque ne réussit que si l'attaquant a plus de bande passante que sa victime (par exemple, un hacker avec une connexion Internet qui transmet 20 millions de bits par seconde et une victime avec une connexion Internet de 10 millions de bits par seconde).

Contre-mesures

modifier

Pour réduire les effets d'un ping flood, un serveur peut utiliser un pare-feu pour détruire les requêtes ping en tout temps ou lorsque le nombre de requêtes est anormalement élevé.

La destruction des requêtes ping entraîne évidemment une non-réponse à ces requêtes par le serveur auquel les requêtes étaient destinées. Cette absence de réponse a deux avantages :

  • une réduction de l’utilisation de la bande passante ;
  • une plus grande difficulté pour l'attaquant de mesurer l'efficacité de son attaque.

Toutefois, cette pratique empêche aussi la mesure de la latence du réseau Internet par des utilisateurs légitimes, ce qui n’est pas désirable. Des solutions de compromis sont

  • détruire les requêtes ping seulement lorsque leur nombre est anormalement élevé ;
  • établir un nombre maximum de requêtes ping que le pare-feu transmet au serveur par seconde.

Il est important de se rappeler que l’adresse IP source qui apparaît dans la requête ping n’est pas nécessairement l’adresse IP de l’ordinateur qui a envoyé la requête, car cette adresse peut être falsifiée (spoofed). L’émetteur malveillant des requêtes ping peut même générer une nouvelle adresse IP aléatoire dans chaque nouvelle requête.

Voir aussi

modifier

Articles connexes

modifier