Attaque DDos Ping de la mort

L'attaque « ping of death » (PoD) est une attaque DDoS qui envoie des paquets de taille anormale afin de perturber un serveur web.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque Ping de la mort (POD)
  • Expliquer comment fonctionne une attaque Ping de la mort
  • Expliquer les stratégies de lutte contre les attaques Ping de la mort

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce qu'une attaque de type Ping de la mort ?

Une attaque Ping de la mort est une attaque par déni de service (DoS) dans laquelle l'attaquant cherche à perturber une machine donnée en envoyant un paquet d'une taille supérieure à la taille maximale autorisée, ce qui provoque son blocage ou son plantage. L'attaque Ping de la mort originale est moins courante aujourd'hui. Une attaque similaire, connue sous le nom d'attaque ICMP Ping, est plus répandue.

Comment fonctionne une attaque de type « ping of death » ?

Un message de réponse à écho ICMP (Internet Control Message Protocol) ou « ping », est un utilitaire réseau permettant de tester une connexion réseau qui fonctionne un peu comme un sonar : une « impulsion » est envoyée et l'« écho » de cette impulsion donne au technicien des informations sur l'environnement. Si la connexion fonctionne, la machine source reçoit une réponse de la machine cible.

Si certains paquets ping sont très petits, les paquets ping IP4 sont beaucoup plus volumineux et peuvent atteindre la taille maximale autorisée de 65 535 octets. Certains systèmes TCP/IP n'ont pas été conçus pour traiter des paquets plus volumineux que la taille maximale, ce qui les rend vulnérables aux paquets dépassant cette taille.

Attaque DDos Ping de la mort

Lors de la transmission d'un paquet à la taille délibérément excessive du pirate à la cible, le paquet est fragmenté en plusieurs parties, dont chacune est inférieure à la taille maximale. Lorsque la machine cible tente de reconstituer les éléments, la taille totale dépasse alors la limite et un débordement de tampon (buffer overflow) peut se produire, en entraînant le blocage, l'arrêt ou le redémarrage de la machine.

L'écho ICMP pouvant être utilisé pour cette attaque, tout équipement qui envoie un datagramme IP peut être utilisé pour cet exploit. Cela inclut les transmissions TCP, UDP et IPX.

Comment peut-on lutter contre une attaque DDoS de type Ping de la mort ?

Pour contrer une attaque, il est possible d'ajouter des mécanismes de contrôle au processus de réassemblage pour s'assurer que la contrainte de volume maximal des paquets ne sera pas dépassée après leur reconstruction. Une autre solution consiste à créer une mémoire tampon disposant d'un espace suffisant pour traiter les paquets qui dépassent la taille limite.

L'attaque Ping de la mort originelle est désormais totalement dépassée  : les machines fabriquées après 1998 sont généralement protégées contre ce type d'attaque. Certains équipements anciens peuvent encore y être vulnérables. Une nouvelle attaque Ping de la mort pour les paquets IPv6 de Microsoft Windows a été découverte plus récemment et a été corrigée mi-2013. La protection contre les attaques DDoS de Cloudflare permet d'atténuer les attaques Ping de la mort en rejetant les paquets présentant des anomalies avant qu'ils n'atteignent l'ordinateur hôte visé.