Des paquets IP usurpés avec des adresses sources falsifiées sont souvent utilisés dans les attaques afin d’éviter leur détection.
Cet article s'articule autour des points suivants :
Contenu associé
TCP/IP
R U Dead Yet? (R.U.D.Y.)
Atténuation DDoS
Attaque par amplification NTP
Attaque Ping (ICMP) flood
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L’usurpation d’adresse IP est la création de paquets IP (Internet Protocol) contenant une adresse source modifiée afin de cacher l’identité de l’expéditeur ou pour se faire passer pour un autre système informatique, ou les deux. C’est une technique souvent utilisée par les acteurs malveillants pour réaliser des attaques DDoS contre un appareil ciblé ou l’infrastructure environnante.
L’envoi et la réception de paquets IP constituent un moyen fondamental de communication pour les ordinateurs et autres appareils en réseau, et sont la base de l’Internet moderne. Tous les paquets IP comprennent un en-tête qui précède le corps du paquet et contient des informations importantes de routage, dont l’adresse source. Dans un paquet normal, l’adresse IP source est l’adresse de l’émetteur du paquet. Si le paquet a été usurpé, l’adresse source est falsifiée.
L’usurpation d’adresse IP est analogue à un attaquant qui envoie un colis à une personne en utilisant une fausse adresse de retour. Si la personne qui reçoit le colis veut empêcher l’expéditeur d’envoyer des colis, le fait de bloquer tous les colis en se basant sur la fausse adresse ne servira pas à grand chose, car l’adresse de retour est facilement modifiable. De même, si le destinataire veut répondre à l’adresse de retour, son colis renvoyé ira à une autre adresse que celle du véritable expéditeur. La possibilité d’usurper les adresses des paquets est une vulnérabilité de base exploitée par de nombreuses attaques DDoS.
Les attaques DDoS utilisent souvent l’usurpation d’identité dans le but de submerger une cible de trafic tout en masquant l’identité de la source malveillante, ce qui a pour effet d’empêcher les efforts d’atténuation. Si l’adresse IP source est falsifiée et randomisée en continu, le blocage des requêtes malveillantes devient difficile. L’usurpation d’adresse IP complique également la tâche des équipes chargées de l’application des lois et de la cybersécurité pour retrouver l’auteur de l’attaque.
L’usurpation est aussi utilisée pour se faire passer pour un autre appareil afin que les réponses soit envoyées sur cet appareil ciblé. Les attaques volumétriques comme celles par amplification NTP ou amplification DNS exploitent cette vulnérabilité. La capacité de modifier l’adresse IP source est intrinsèque à la conception du TCP/IP, ce qui en fait un problème de sécurité permanent.
Parallèlement aux attaques DDoS, l’usurpation peut aussi permettre de se déguiser en un autre appareil afin de contourner l’authentification pour accéder à ou « détourner » une session d’utilisateur.
Il est impossible d’empêcher l’usurpation d’adresse IP, mais il existe des mesures pour empêcher les paquets usurpés d’infiltrer un réseau. Une protection très répandue contre l’usurpation est le filtrage du trafic entrant, décrit dans BCP38 (un document « bonne pratique courante »). Le filtrage du trafic entrant est une forme de filtrage de paquet généralement appliquée sur un appareil à la périphérie du réseau qui examine les paquets IP entrants et vérifie leurs en-têtes source. Si les en-têtes source de ces paquets ne correspondent pas à leur origine ou semblent suspects, les paquets sont rejetés. Certains réseaux mettront également en place un filtrage du trafic sortant, qui surveille les paquets IP qui quittent le réseau pour garantir que ces paquets contiennent des en-têtes source légitimes et pour empêcher quelqu’un au sein du réseau de lancer une attaque malveillante sortante en utilisant l’usurpation d’identité.