What is IP spoofing?

Des paquets IP usurpés avec des adresses sources falsifiées sont souvent utilisés dans les attaques afin d’éviter leur détection.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir l’usurpation d’adresse IP
  • Décrire comment l’usurpation d’adresse IP est utilisée dans les attaques DDoS
  • Décrire un moyen de se défendre contre l’usurpation d’adresse IP

Copier le lien de l'article

Qu’est-ce que l’usurpation d’adresse IP ?

L’usurpation d’adresse IP est la création de paquets IP (Internet Protocol) contenant une adresse source modifiée afin de cacher l’identité de l’expéditeur ou pour se faire passer pour un autre système informatique, ou les deux. C’est une technique souvent utilisée par les acteurs malveillants pour réaliser des attaques DDoS contre un appareil ciblé ou l’infrastructure environnante.

L’envoi et la réception de paquets IP constituent un moyen fondamental de communication pour les ordinateurs et autres appareils en réseau, et sont la base de l’Internet moderne. Tous les paquets IP comprennent un en-tête qui précède le corps du paquet et contient des informations importantes de routage, dont l’adresse source. Dans un paquet normal, l’adresse IP source est l’adresse de l’émetteur du paquet. Si le paquet a été usurpé, l’adresse source est falsifiée.

Attaque DDoS par usurpation d’identité

L’usurpation d’adresse IP est analogue à un attaquant qui envoie un colis à une personne en utilisant une fausse adresse de retour. Si la personne qui reçoit le colis veut empêcher l’expéditeur d’envoyer des colis, le fait de bloquer tous les colis en se basant sur la fausse adresse ne servira pas à grand chose, car l’adresse de retour est facilement modifiable. De même, si le destinataire veut répondre à l’adresse de retour, son colis renvoyé ira à une autre adresse que celle du véritable expéditeur. La possibilité d’usurper les adresses des paquets est une vulnérabilité de base exploitée par de nombreuses attaques DDoS.

Les attaques DDoS utilisent souvent l’usurpation d’identité dans le but de submerger une cible de trafic tout en masquant l’identité de la source malveillante, ce qui a pour effet d’empêcher les efforts d’atténuation. Si l’adresse IP source est falsifiée et randomisée en continu, le blocage des requêtes malveillantes devient difficile. L’usurpation d’adresse IP complique également la tâche des équipes chargées de l’application des lois et de la cybersécurité pour retrouver l’auteur de l’attaque.

Spoofing is also used to masquerade as another device so that responses are sent to that targeted device instead. Volumetric attacks such as NTP Amplification and DNS amplification make use of this vulnerability. The ability to modify the source IP is inherent to the design of TCP/IP, making it an ongoing security concern.

Parallèlement aux attaques DDoS, l’usurpation peut aussi permettre de se déguiser en un autre appareil afin de contourner l’authentification pour accéder à ou « détourner » une session d’utilisateur.

Comment se protéger de l’usurpation d’adresse IP (filtrage de paquets)

While IP spoofing can’t be prevented, measures can be taken to stop spoofed packets from infiltrating a network. A very common defense against spoofing is ingress filtering, outlined in BCP38 (a Best Common Practice document). Ingress filtering is a form of packet filtering usually implemented on a network edge device which examines incoming IP packets and looks at their source headers. If the source headers on those packets don’t match their origin or they otherwise look fishy, the packets are rejected. Some networks will also implement egress filtering, which looks at IP packets exiting the network, ensuring that those packets have legitimate source headers to prevent someone within the network from launching an outbound malicious attack using IP spoofing.

Service commercial