Attaque DDoS Smurf

Une attaque DDoS où une victime est submergée de demandes ICMP.

Share facebook icon linkedin icon twitter icon email icon

Attaque Smurf

Objectifs d’apprentissage

Après avoir lu cet article, vous :

  • Définir une attaque de Smurf
  • Comprendre comment fonctionne une attaque de Smurf
  • Mettre en place une stratégie d'atténuation des attaques Smurf

Attaque Smurf

Une attaque Attaque Smurf est une attaque par déni de service distribué (DDoS) dans laquelle un pirate tente de saturer un serveur cible avec des paquets ICMP (Internet Control Message Protocol). En envoyant des requêtes avec l'adresse IP usurpée de l'appareil cible à un ou plusieurs réseaux informatiques, les réseaux informatiques répondent ensuite au serveur cible, amplifiant le trafic d'attaque initial et saturant potentiellement la cible, la rendant inaccessible. Ce vecteur d'attaque est généralement considéré comme une vulnérabilité résolue et n'est plus répandu.

Comment fonctionne une attaque Smurf ?

Bien que les paquets ICMP puissent être utilisés dans une attaque DDoS, ils remplissent normalement des fonctions précieuses dans l'administration des réseaux. L'application ping, qui utilise les paquets ICMP, est utilisée par les administrateurs de réseau pour tester les périphériques matériels en réseau tels que les ordinateurs, les imprimantes ou les routeurs. Un ping est généralement utilisé pour voir si un appareil est opérationnel, et pour suivre le temps nécessaire que prend le message pour faire l'aller-retour de l'appareil source à la cible et de nouveau à la source. Malheureusement, comme le protocole ICMP ne prévoit pas de poignée de main, les appareils qui reçoivent des requêtes sont incapables de vérifier si la requête est légitime.

Ce type d'attaque DDoS peut être considéré métaphoriquement comme un farceur qui appelle un Chef de bureau et prétend être le PDG de la société. Le farceur demande audit Chef de bureau de dire à chaque employé de rappeler le Directeur sur son numéro privé et de lui donner des nouvelles de son travail. Le farceur donne le numéro de rappel d'une victime ciblée, qui reçoit alors autant d'appels téléphoniques non désirés qu'il y a du personnel dans le bureau.

Voici comment fonctionne une attaque de Smurf

  1. Tout d'abord, le logiciel malveillant Smurf crée un paquet usurpé dont l'adresse source est définie sur l'adresse IP réelle de la victime cible.
  2. Le paquet est ensuite envoyé à une adresse IP de diffusion d'un routeur ou d'un pare-feu, qui à son tour envoie des requêtes à chaque adresse de dispositif hôte à l'intérieur du réseau de diffusion, augmentant le nombre de requêtes par le nombre de dispositifs interconnectés sur le réseau.
  3. Chaque appareil du réseau reçoit la requête du diffuseur et répond ensuite à l'adresse usurpée de la cible avec un paquet ICMP Echo Reply.
  4. La victime ciblée reçoit alors un afflux de paquets ICMP Echo Reply, risquant d'être submergée et de se retrouver en situation de déni de service pour le trafic légitime.

Comment atténuer une attaque Smurf ?

Plusieurs stratégies d'atténuation de ce vecteur d'attaque ont été développées et mises en œuvre au fil des ans, et l'exploit est largement considéré comme résolu. Sur un nombre limité de systèmes existants, des techniques d'atténuation peuvent encore devoir être appliquées. Une solution simple consiste à désactiver les adresses de diffusion IP au niveau de chaque routeur et pare-feu de réseau. Les routeurs plus anciens activeront probablement la diffusion par défaut, tandis que les routeurs plus récents l'auront probablement déjà désactivée. Dans le cas d'une attaque Scmurf, Cloudflare élimine le trafic d'attaque en empêchant les paquets ICMP d'atteindre le serveur d'origine cible. En savoir plus sur le fonctionnement de la protection DDoS de Cloudflare.