DÉFINITION DE SÉCURITÉ
Une attaque par rebond est une forme d’attaque par déni de service distribué (DDoS) qui rend les réseaux informatiques inopérants. Pour ce faire, le programme Smurf exploite les vulnérabilités du protocole Internet (IP, pour Internet Protocol) et des protocoles de message de contrôle sur Internet (ICMP, pour Internet Control Message Protocol).
Une attaque par rebond se déroule comme suit :
- Premièrement, le programme malveillant crée un paquet réseau associé à une fausse adresse IP, une technique que l’on appelle « usurpation ».
- Le paquet contient un message ping ICMP, qui demande aux nœuds du réseau qui reçoivent le paquet d’envoyer une réponse.
- Ces réponses, ou « échos », sont par la suite renvoyées aux adresses IP du réseau, créant ainsi une boucle infinie.
Lorsqu’on l’associe à la diffusion IP (qui permet d’envoyer le paquet malveillant à toutes les adresses IP du réseau), l’attaque par rebond peut rapidement causer un déni de service complet.
Effets et transmission d’une attaque par rebond
Il est possible de télécharger accidentellement le cheval de Troie Smurf sur un site Internet non vérifié ou via un lien infecté figurant dans un e-mail. En règle générale, le programme restera en dormance sur l’ordinateur jusqu’à ce qu’il soit activé par un utilisateur à distance ; par conséquent, de nombreux programmes malveillants Smurf sont associés à des rootkits, ce qui permet aux pirates informatiques de créer des backdoors pour accéder facilement au système. Pour lutter contre une attaque par rebond, vous pouvez par exemple désactiver l’adressage de diffusion IP sur chaque routeur du réseau. Cette fonction est rarement utilisée et, lorsqu’elle est désactivée, l’attaque ne peut pas submerger le réseau.
Une attaque DDoS par rebond réussie peut paralyser les serveurs de l’entreprise pendant des heures ou des jours, ce qui entraîne une perte de chiffre d’affaires et la frustration des clients. Qui plus est, ce type d’attaque peut également servir de couverture à quelque chose de plus pernicieux, comme le vol de fichiers ou de propriété intellectuelle. Pour gérer les attaques par rebond et les attaques DDoS similaires, il vous faut une solide stratégie de prévention capable de surveiller le trafic réseau et de détecter toute irrégularité, par exemple au niveau de la signature, du comportement ou du volume des paquets ; de nombreux bots malveillants affichent des caractéristiques particulières, et le fait de disposer du service de sécurité adapté peut vous aider à mettre fin à une attaque par rebond ou autre attaque DDoS avant même qu’elle ne commence.
Comment vous protéger
Bien que le nom qui lui est attribué en anglais (« Smurf » signifie Schtroumpf en français) la fasse passer pour quelque chose de mignon, l’attaque par rebond présente de véritables risques si les serveurs sont submergés. Le fait de désactiver la diffusion IP et de disposer d’outils de détection fiables permet de limiter les répercussions et le risque d’occurrence de cette attaque. Voici quelques étapes permettant de limiter les attaques par rebond :
- assurez-vous de bloquer le trafic de diffusion dirigé vers le réseau
- configurez les hôtes et les routeurs de sorte qu’ils ne répondent pas aux requêtes ICMP echo request.
L’attaque Fraggle est une variante de l’attaque par rebond. Elle est pratiquement identique à une attaque par rebond, excepté qu’au lieu d’envoyer une requête ICMP echo request à l’adresse de diffusion dirigée, elle envoie des paquets UDP. En ce qui concerne l’attaque Fraggle, le processus de limitation est le même.
Autres articles et liens en rapport avec les attaques par rebond