Attaque DDoS de type Ping (ICMP) Flood

Une attaque DDoS qui submerge une cible de requêtes ICMP.

Share facebook icon linkedin icon twitter icon email icon

Ping (ICMP) Flood

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS de type Ping flood
  • Pouvoir expliquer comment se déroule une attaque de type Ping flood
  • Connaître les types d'attaques Ping
  • Mettre en œuvre des stratégies pour atténuer les attaques de type Ping Flood

Qu'est-ce qu'une attaque de type Ping (ICMP) flood ?

Un Ping flood est une attaque par déni de service au cours de laquelle le pirate tente de submerger un appareil ciblé avec des paquets de demande d'écho ICMP, rendant la cible inaccessible au trafic normal. Lorsque le trafic d'attaque provient de plusieurs appareils, l'attaque devient une attaque DDoS ou déni de service distribuée.

Comment fonctionne une attaque de type Ping flood ?

Le protocole ICMP (Internet Control Message Protocol), qui est utilisé dans une attaque Ping Flood, est un protocole de couche Internet utilisé dont les dispositifs de réseau se servent pour communiquer. Les outils de diagnostic du réseau, traceroute et ping s'exécutent tous deux avec ICMP. Généralement, les messages ICMP de demande et de réponse par écho sont utilisés pour envoyer un ping à un interface réseau afin de diagnostiquer la santé et la connectivité de l'appareil et la connexion entre l'expéditeur et ledit appareil.


Une requête ICMP nécessite des ressources de serveur pour traiter chaque requête et pour envoyer une réponse. La requête nécessite également de la bande passante à la fois pour le message entrant (demande d'écho) et pour la réponse sortante (réponse d'écho). L'attaque Ping Flood vise à submerger la capacité du dispositif ciblé à répondre au nombre élevé de demandes et/ou à surcharger la connexion réseau avec du trafic fictif. Si le pirate fait en sorte que plusieurs dispositifs dans un botnet ciblent la même propriété Internet ou le même composant d'infrastructure avec des requêtes ICMP, le trafic d'attaque est considérablement augmenté, ce qui peut entraîner une perturbation de l'activité normale du réseau. Historiquement, les pirates usurpent souvent une fausse adresse IPafin de masquer le périphérique émetteur. Avec les attaques de botnets modernes, les pirates voient rarement la nécessité de masquer l'adresse IP du bot, et s'appuient plutôt sur un vaste réseau de bots non piratés pour saturer la capacité d'une cible.

La forme DDoS d'un Ping (ICMP) flood peut être décomposée en étapes répétitives

  1. Le pirate envoie de nombreux paquets de requêtes d'écho ICMP au serveur ciblé via plusieurs appareils.
  2. Le serveur ciblé envoie ensuite un paquet d'écho de réponse ICMP à l'adresse IP de chaque appareil demandeur en guise de réponse.
Ping ICMP DDoS Attack Diagram

L'effet dommageable d'une Ping Flood est directement proportionnel au nombre de requêtes adressées au serveur visé. Contrairement aux attaques DDoS basées sur la réflexion comme l'amplification NTP et l'amplification DNS, le trafic d'une attaque Ping Flood est symétrique ; la quantité de bande passante que le dispositif ciblé reçoit est simplement la somme du trafic total envoyé par chaque bot.

Comment atténuer les effets d'une attaque de type Ping flood ?

La désactivation d'une ping flood se fait plus facilement en désactivant la fonctionnalité ICMP du routeur, de l'ordinateur ou de tout autre appareil cible. Un administrateur réseau peut accéder à l'interface administrative de l'appareil et désactiver sa capacité à envoyer et à recevoir des demandes à l'aide de l'ICMP, ce qui élimine effectivement le traitement de la demande et de l'Echo Reply. La conséquence est que toutes les activités de réseau impliquant l'ICMP sont désactivées, rendant l'appareil insensible aux demandes ping, aux demandes traceroute et aux autres activités de réseau.

Comment procède Cloudflare pour atténuer les attaques Ping Flood ?

Cloudlare atténue ce type d'attaque en partie en se plaçant entre le serveur d'origine visé et le Ping flood. Lors de chaque demande ping, Cloudflare gère le processus de traitement et de réponse de la demande d'écho ICMP et de la réponse à la périphérie de notre réseau. Cette stratégie permet de réduire le coût de la bande passante et de la puissance de traitement du serveur ciblé et de le placer sur le réseau Anycast de Cloudflare. En savoir plus sur la protection DDoS de Cloudflare.