Attaques ICMP : tout ce que vous devez savoir

Il n’est pas surprenant que les pirates s’efforcent de trouver une faiblesse dans tout, des simples logiciels aux protocoles les plus fondamentaux qui sous-tendent la structure d’Internet telle que nous la connaissons. En tant que l'un des composants essentiels de la pile de protocoles Internet, Internet Control Message Protocol agit comme un support de message mondial, transmettant des informations vitales sur l'état des périphériques réseau et des réseaux entiers qui forment le Web mondial.

Bien qu’il s’agisse d’un outil de communication inestimable, ICMP devient un moyen potentiel pour les attaquants d’exploiter les faiblesses inhérentes à sa conception. En exploitant la confiance accordée aux appareils réseau dans les messages ICMP, les acteurs malveillants tentent de contourner les systèmes de sécurité déployés par l'hôte de la victime, provoquant ainsi des perturbations dans les opérations du réseau, pouvant finalement aboutir à un déni de service.

En tant que groupe distinct d'attaques par déni de service, les attaques ICMP ne constituent plus un outil principal dans la boîte à outils de l'attaquant. Cependant, ils continuent de faire des ravages dans les entreprises en ligne. Les attaques par ping, les attaques par schtroumpf et ce que l'on appelle le ping de la mort sont toutes des variantes différentes des attaques ICMP qui peuvent encore constituer une menace pour les opérations réseau dans le monde entier.

Dans ce guide sur les attaques ICMP, vous apprendrez ce qu'est ICMP et comment les pirates l'utilisent pour provoquer un déni de service sur des serveurs et des réseaux entiers. Nous examinerons les mécanismes sous-jacents aux attaques ICMP pour vous doter des connaissances et des outils nécessaires pour protéger votre entreprise des dommages qu'elles posent.

Qu’est-ce qu’ICMP ?

Internet Control Message Protocol, ou ICMP, est un protocole réseau utilisé par les périphériques réseau pour communiquer des informations opérationnelles entre eux. Alors que ICMP est souvent considéré comme faisant partie du protocole IP dans la mesure où ses messages sont transportés sous forme de charge utile IP, Internet Control Message Protocol se situe juste au-dessus et est spécifié comme protocole de couche supérieure dans les datagrammes IP. Cependant, son activité reste encore confinée à la troisième couche de la suite de protocoles Internet, connue sous le nom de Network Layer.

Chaque message ICMP possède un type et un champ de code qui spécifient le type d'informations qu'il véhicule et son objectif, ainsi qu'une partie de la requête originale qui a provoqué la génération du message. Par exemple, si l'hôte de destination s'avère inaccessible, le routeur qui n'a pas réussi à lui transmettre la requête d'origine générera un message ICMP de type trois code un vous informant qu'il n'a pas pu trouver de chemin vers le serveur que vous avez spécifié.

À quoi sert ICMP ?

La plupart du temps, ICMP est utilisé pour gérer le rapport d'erreurs dans les situations où le réseau de destination ou le système final n'a pas pu être atteint. Les messages d'erreur tels que « Réseau de destination inaccessible » ont tous deux leur origine dans ICMP et vous seront affichés si votre demande n'a jamais terminé son parcours prévu. Comme le message ICMP inclut une partie de la demande d'origine, le système la mappera facilement vers la bonne destination.

Bien que le rapport d'erreurs soit l'une des principales applications du protocole de message de contrôle Internet, ICMP sous-tend la fonctionnalité de deux outils de diagnostic réseau fondamentaux : ping et traceroute. Les deux utilitaires sont largement utilisés pour tester la connectivité réseau et tracer le chemin permettant de supprimer les réseaux et les systèmes finaux. Et même si ping et traceroute sont souvent utilisés de manière interchangeable, leurs méthodes opérationnelles diffèrent considérablement.

Ping et Traceroute

Ping envoie une série de messages ICMP du type demande d'écho, attendant des réponses d'écho de l'hôte de destination. Si chaque requête reçoit une réponse, Ping ne signalera aucune perte de paquet entre les systèmes source et de destination. De même, si certains messages n’atteignent jamais leur destination en raison d’une congestion du réseau, le service public signalera ces paquets comme perdus.

Traceroute a un mécanisme plus complexe et a été créé dans un but différent. Au lieu d'envoyer des demandes d'écho à l'hôte prévu, il envoie une rafale de paquets IP qui devraient expirer une fois qu'ils atteignent la destination prévue. De cette façon, le routeur ou l'hôte récepteur sera obligé de générer le message ICMP expiré Time to Live (TTL) qui sera renvoyé à la source. Après avoir reçu des messages de réponse ICMP pour chaque paquet d'origine, Traceroute aura les noms des commutateurs de paquets qui forment la route vers l'hôte de destination, ainsi que le temps qu'il a fallu aux paquets d'origine pour atteindre chacun d'eux.

Qu’est-ce qui rend ICMP facile à exploiter ?

ICMP étant limité à la couche réseau du modèle OSI (Open Systems Interconnection), ses requêtes ne nécessitent pas l'établissement d'une connexion avant d'être transmises, ce qui est le cas de la prise de contact à trois voies introduite par TCP et amplifiée par TLS avec l'utilisation de certificats SSL/TLS. Cela permet d’envoyer des requêtes ping à n’importe quel système, ce qui facilite son exploitation.

Comme vous pouvez le constater, même si ICMP s'est révélé être un élément inestimable du réseau mondial, il a également attiré l'attention des cybercriminels qui souhaitaient l'utiliser à des fins malveillantes. Les acteurs malveillants exploitent les faiblesses présentes dans la mise en œuvre d'ICMP pour perturber les réseaux et les hôtes individuels. En effectuant des attaques ICMP, les pirates informatiques transforment ICMP d'un outil de diagnostic réseau vital en une cause première des pannes de réseau.

Les attaques ICMP en tant que type de déni de service (DoS) moins dangereux

Les attaques ICMP exploitent les capacités de l'Internet Control Message Protocol pour submerger les réseaux et les appareils ciblés de requêtes, provoquant ce que l'on appelle une inondation de bande passante, une forme de déni de service (DoS) qui vise à épuiser la capacité de la victime à gérer le trafic entrant. Une attaque ICMP peut être définie comme une attaque par déni de service qui utilise les messages ICMP comme principal outil pour perturber les opérations du réseau.

Les attaques ICMP sont souvent considérées comme moins dangereuses et plus faciles à défendre que la plupart des autres types d'attaques par déni de service. Et même si les attaques ICMP peuvent toujours causer des dégâts importants, elles sont généralement plus simples à détecter et à atténuer pour plusieurs raisons :

• Les attaques ICMP se concentrent sur la couche réseau. ICMP fonctionne à un niveau inférieur de la pile de protocoles Internet, et les messages ICMP transportent une charge utile plus petite que les charges utiles volumineuses en données utilisées dans d'autres attaques par déni de service. Cela facilite l’identification du trafic ICMP malveillant.
• Les attaques ICMP affichent des modèles distinctifs. Les messages ICMP malveillants présentent souvent des modèles distinctifs, tels qu'un déluge de demandes d'écho provenant du même expéditeur ou des messages d'erreur spécifiques.
• Le trafic ICMP est plus facile à limiter. Les administrateurs réseau peuvent limiter ou même désactiver complètement le trafic ICMP entrant et sortant, ce qui n'entraînera aucune perturbation notable des opérations normales.

3 principaux types d'attaques ICMP

Les trois principaux types d'attaques ICMP comprennent l'inondation de ping, les attaques de Schtroumpf et les attaques de ping de mort. Chacun d’eux utilise des mécanismes distincts, mais la principale différence réside dans les types de messages ICMP utilisés par les cybercriminels.

Comme nous l'avons vu, à l'exception de l'utilitaire Ping qui génère des requêtes d'écho et les dirige vers la destination, les messages ICMP sont généralement générés par le système de destination pour alerter la source d'un certain problème. De cette façon, au lieu de diriger une explosion de paquets ICMP vers le système d'une victime, les attaquants peuvent utiliser des techniques plus sophistiquées, comme faire de la victime de l'attaque l'attaquant aux yeux d'une autre victime.

Examinons de plus près chacun des trois types d'attaques ICMP les plus répandus et voyons comment ils ont provoqué des perturbations massives sur Internet avant que des mécanismes de défense importants ne soient largement introduits.

Inondation de ping

L'inondation de ping est la variante la plus simple et la plus répandue d'une attaque ICMP, dans laquelle des acteurs malveillants dirigent une quantité excessive de requêtes d'écho vers le système ou le réseau victime. Simulant l'activité normale de l'utilitaire Ping, les cybercriminels ciblent la bande passante de l'hôte de destination.

Avec un déluge de requêtes ICMP envoyées dans la même direction, le lien d'accès de la cible se bouche, empêchant ainsi le trafic légitime d'atteindre la destination. Et comme un message de réponse d'écho ICMP est attendu pour chaque demande d'écho, une attaque par ping peut entraîner une augmentation significative de l'utilisation du processeur, ce qui peut ralentir le système final, provoquant un déni de service complet.

Comme pour tout autre type de DoS, les acteurs malveillants peuvent utiliser plusieurs hôtes pour mener une attaque par ping, la transformant ainsi en une attaque par déni de service distribué (DDoS). Non seulement l’utilisation de plusieurs sources d’attaque amplifie les effets de l’attaque, mais elle aide également l’attaquant à éviter d’être découvert et à cacher son identité.

Les attaques par déni de service distribué exploitent généralement les botnets, c'est-à-dire les réseaux de points finaux compromis et de périphériques réseau contrôlés par l'attaquant. Les botnets sont créés et étendus en infectant l'appareil de la victime avec un type spécial de malware qui permettra au propriétaire du botnet de contrôler à distance le système compromis. Une fois reçu l'ordre, l'appareil infecté commencera à submerger la cible de l'attaque ping avec des messages de demande d'écho ICMP à l'insu ou sans le consentement du propriétaire légitime.

L’une des attaques ping à grande échelle les plus célèbres a eu lieu en 2002. Les cybercriminels ont exploité un botnet pour diriger des camions de messages de demande d’écho ICMP vers chacun des treize serveurs de noms racine DNS. Heureusement, comme les commutateurs de paquets derrière les serveurs de noms étaient déjà configurés pour rejeter tous les messages ping entrants, l’attaque a eu peu ou pas d’impact sur l’expérience Internet globale.

Attaque de Schtroumpf

Les attaques de Schtroumpf transforment la victime en un attaquant perçu en donnant l'impression que les requêtes d'écho ICMP proviennent d'une source différente. En usurpant l'adresse de l'expéditeur, les attaquants dirigent un grand nombre de messages ICMP vers un ou plusieurs réseaux d'appareils dans l'espoir que les réponses d'écho submergent l'hôte de la véritable victime – le système spécifié comme source dans les requêtes ping originales.

Les attaques de Schtroumpfs étaient autrefois considérées comme une menace majeure pour les réseaux informatiques en raison de leur immense potentiel de destruction. Cependant, pour l’instant, ce vecteur d’attaque est rarement utilisé et est généralement considéré comme une vulnérabilité corrigée. Cela est dû au fait que la majorité absolue des filtres de paquets supprimeront automatiquement les messages ICMP envoyés à une adresse de diffusion, ce qui signifie qu'ils seront dirigés vers tous les appareils du réseau de destination. La spécification d'une telle règle empêchera le réseau d'être utilisé dans une attaque par déni de service de Schtroumpf, ce qui y mettra effectivement fin.

Ping de la mort

Alors que les attaques ping Flood et smurf sont considérées comme des attaques de déni de service basées sur le volume, le ping of death est une attaque de vulnérabilité visant à rendre le système victime inutilisable en envoyant des messages ICMP bien conçus à la destination. Cette attaque ICMP est considérée comme moins répandue que les deux autres attaques DoS dont nous avons parlé précédemment. Néanmoins, c’est celui qui présente le plus grand potentiel de destruction.

Les messages ICMP sont transportés dans des datagrammes IP, qui peuvent avoir une taille limitée. L'envoi d'un message mal formé ou surdimensionné à un hôte peut entraîner un débordement de mémoire et, potentiellement, un crash complet du système. Aussi dangereux que cela puisse paraître, la plupart des systèmes modernes sont équipés de moyens suffisants pour détecter de telles anomalies, empêchant ainsi les messages ICMP mal formés d'atteindre leur destination.

Comment détecter et atténuer une attaque ICMP ?

Les pirates ne choisissent pas les sites Web et les serveurs qu’ils ciblent, en particulier lors d’attaques DDoS à grande échelle. Si vous vous demandez : « Pourquoi un pirate informatique attaquerait mon site Web ? », il est important de se rappeler que quelle que soit la raison, avoir les connaissances nécessaires pour atténuer les attaques ICMP est essentiel pour maintenir la sécurité de votre présence en ligne.

L'atténuation des attaques ICMP, en particulier dans le cas d'une inondation de ping, ne diffère pas de l'atténuation d'autres types d'attaques par déni de service. La clé consiste à identifier le trafic malveillant et à en bloquer la source, refusant ainsi aux attaquants l’accès au serveur.

Cependant, vous aurez rarement besoin d'observer et d'analyser le trafic réseau manuellement, car la plupart des solutions de sécurité, depuis les filtres de paquets sans état traditionnels jusqu'aux systèmes avancés de détection d'intrusion (IDS), sont configurées immédiatement pour limiter le trafic ICMP et atténuer efficacement les attaques ICMP. Grâce aux progrès des solutions de sécurité modernes, les inondations de ping et autres types d'attaques ICMP ne constituent plus une menace majeure pour les serveurs et les sites Web.

Comment se défendre contre les attaques ICMP ?

Une stratégie de défense efficace contre les attaques ICMP commence par la mise en œuvre de règles strictes de filtrage des paquets, qui incluent une limitation du débit, voire la désactivation totale du trafic ICMP entrant et sortant. Bien qu'empêcher tous les messages ICMP d'entrer et de sortir du serveur rendra impossible le suivi de l'itinéraire vers le serveur et que les requêtes ping l'atteignent, cela aura peu ou pas d'effet sur les opérations du serveur et du site Web.

Le plus souvent, le trafic ICMP sortant est limité par défaut par des pare-feu logiciels, il y a donc de fortes chances que votre fournisseur d'hébergement l'ait déjà fait pour vous. Toutes les solutions d'hébergement entièrement gérées proposées par LiquidWeb et Nexcess sont dotées de règles de pare-feu puissantes qui nécessiteront peu ou pas d'ajustements pour se défendre contre les attaques ICMP.

Généralement, si vous souhaitez laisser votre serveur visible sur le réseau mondial par les utilitaires Ping et Traceroute, vous pouvez choisir de limiter le taux des requêtes ping entrantes et sortantes. La configuration par défaut de la plupart des pare-feu logiciels limite le nombre de requêtes d'écho ICMP entrantes à une par seconde pour chaque adresse IP, ce qui constitue un bon point de départ.

Un excellent moyen de défendre votre serveur contre les inondations de ping et autres attaques ICMP consiste à utiliser un réseau de diffusion de contenu (CDN). Les CND modernes implémentent des règles de pare-feu strictes et effectuent une inspection approfondie des paquets, réduisant ainsi considérablement le nombre de requêtes malveillantes atteignant votre serveur. Dans le cas des attaques ICMP, même les ensembles de règles de pare-feu par défaut déployés par le CDN aideront à se défendre efficacement contre les attaques ICMP.

Protégez votre site Web WordPress avec iThemes Security Pro

En exploitant l’implémentation d’Internet Control Message dans la pile de protocoles, les cybercriminels peuvent transformer un composant fondamental d’Internet en une arme dangereuse utilisée pour faire des ravages aussi bien chez les entreprises que chez les particuliers. Les attaques ICMP telles que les attaques ping Flood ou smurf visent à provoquer un déni de service en submergeant l'hôte ou le périphérique réseau cible avec un déluge de messages ICMP malveillants. L'exploitation des botnets et l'usurpation de l'adresse source aident les pirates à rendre les attaques ICMP encore plus efficaces et à augmenter considérablement leur potentiel de destruction.

Heureusement, les attaques ICMP ne constituent plus une menace majeure pour les sites Web et les serveurs, car les solutions de sécurité modernes fournissent d'excellents mécanismes de défense qui permettent de prévenir et d'atténuer avec succès les inondations de ping. Les attaques ICMP peuvent être considérées comme moins dangereuses que les autres attaques par déni de service (DoS) ciblant la couche application de la pile de protocoles.

iThemes Security Pro et BackupBuddy vous garantissent d'avoir une longueur d'avance sur les menaces de cybersécurité en protégeant votre WordPress à tout moment. Grâce à des programmes de sauvegarde flexibles et à des restaurations en un clic, vous pouvez être assuré qu'une copie de travail propre de votre site Web WordPress est stockée en toute sécurité dans un emplacement distant, dans un endroit inaccessible aux pirates. La protection avancée contre la force brute, l'authentification multifacteur, la surveillance de l'intégrité des fichiers et l'analyse des vulnérabilités réduiront considérablement la surface d'attaque et vous aideront à atténuer facilement toutes les menaces.

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates informatiques malveillants. Le plugin iThemes Security Pro élimine les incertitudes liées à la sécurité WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C’est comme avoir un expert en sécurité à plein temps parmi son personnel qui surveille et protège en permanence votre site WordPress pour vous.

Obtenez iThemes Security Pro

Kiki Sheldon

Kiki est titulaire d'un baccalauréat en gestion des systèmes d'information et de plus de deux ans d'expérience sous Linux et WordPress. Elle travaille actuellement comme spécialiste de la sécurité pour Liquid Web et Nexcess. Avant cela, Kiki faisait partie de l'équipe d'assistance de Liquid Web Managed Hosting où elle a aidé des centaines de propriétaires de sites Web WordPress et a appris les problèmes techniques qu'ils rencontrent souvent. Sa passion pour l'écriture lui permet de partager ses connaissances et son expérience pour aider les gens. Outre la technologie, Kiki aime en apprendre davantage sur l'espace et écouter de vrais podcasts sur la criminalité.