Un ping flood est un type d'attaque DDoS qui submerge une cible de requêtes ICMP.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Un Ping flood est une attaque par déni de service au cours de laquelle l'attaquant tente de submerger un appareil ciblé avec des paquets de demande d'écho ICMP, rendant la cible inaccessible au trafic normal. Lorsque le trafic d'attaque provient de plusieurs appareils, l'attaque devient une attaque DDoS ou déni de service distribuée.
Le protocole ICMP (Internet Control Message Protocol), qui est utilisé dans une attaque Ping Flood, est un protocole de couche Internet utilisé dont les dispositifs de réseau se servent pour communiquer. Les outils de diagnostic du réseau, traceroute et ping s'exécutent tous deux avec ICMP. Généralement, les messages ICMP de demande et de réponse par écho sont utilisés pour envoyer un ping à un interface réseau afin de diagnostiquer la santé et la connectivité de l'appareil et la connexion entre l'expéditeur et ledit appareil.
Une requête ICMP nécessite des ressources de serveur pour traiter chaque requête et pour envoyer une réponse. La requête nécessite également de la bande passante à la fois pour le message entrant (demande d'écho) et pour la réponse sortante (réponse d'écho). L'attaque Ping Flood vise à submerger la capacité du dispositif ciblé à répondre au nombre élevé de demandes et/ou à surcharger la connexion réseau avec du trafic fictif. Si le pirate fait en sorte que plusieurs dispositifs dans un ciblent la même propriété Internet ou le même composant d'infrastructure avec des requêtes ICMP, le trafic d'attaque est considérablement augmenté, ce qui peut entraîner une perturbation de l'activité normale du réseau. Historiquement, les attaquants usurpent souvent une fausse adresse IP afin de masquer le périphérique émetteur. Avec les attaques de botnets modernes, les pirates voient rarement la nécessité de masquer l'adresse IP du bot, et s'appuient plutôt sur un vaste réseau de bots non piratés pour saturer la capacité d'une cible.
La forme DDoS d'un Ping (ICMP) flood peut être décomposée en étapes répétitives
L'effet dommageable d'une Ping Flood est directement proportionnel au nombre de requêtes adressées au serveur visé. Contrairement aux attaques DDoS basées sur la réflexion comme l'amplification NTP et l'amplification DNS, le trafic d'une attaque Ping Flood est symétrique ; la quantité de bande passante que le dispositif ciblé reçoit est simplement la somme du trafic total envoyé par chaque bot.
La désactivation d'une ping flood se fait plus facilement en désactivant la fonctionnalité ICMP du routeur, de l'ordinateur ou de tout autre appareil cible. Un administrateur réseau peut accéder à l'interface administrative de l'appareil et désactiver sa capacité à envoyer et à recevoir des demandes à l'aide de l'ICMP, ce qui élimine effectivement le traitement de la demande et de l'Echo Reply. La conséquence est que toutes les activités de réseau impliquant l'ICMP sont désactivées, rendant l'appareil insensible aux demandes ping, aux demandes traceroute et aux autres activités de réseau.
Cloudlare atténue ce type d'attaque en partie en se plaçant entre le serveur d'origine visé et le Ping flood. Lors de chaque requête de ping, Cloudflare gère le processus de traitement et de réponse de la demande d'écho ICMP et de la réponse à la périphérie de notre réseau. Cette stratégie permet de réduire le coût de la bande passante et de la puissance de traitement du serveur ciblé et de le placer sur le réseau Anycast de Cloudflare. En savoir plus sur la protection DDoS de Cloudflare. En savoir plus sur la protection DDoS de Cloudflare.