Re: Une histoire de MTU

Top Page

Reply to this message
Author: Olivier Allard-Jacquin
Date:  
To: Guilde
Subject: Re: Une histoire de MTU
    Bonjour,

Riquer Vincent (#343341) a écrit :
> Jean-Marc Coursimault a écrit :
>> Le pb a été tracé chez France Telecom, qui n'acceptait plus la taille de
>> paquets IP ("MTU") "standard" de 1500, mais était passé à 1496.
>> Apparemment le système de path MTU discovery qui sert à l'ajuster ne
>> fonctionnait pas, probablement parce que les paquets ICMP qui servent à
>> cela étaient filtrés.
>
> J'ai du mal à saisir l'interet de filtrer les paquets ICMP, à part
> "redirect", qui lui peut effectivement poser un risque de sécurité
> (MITM), et "quench", dont un flood fait freezer les machines windows
> 2000 (sisi, j't'assure, je m'en suis aperçu en jouant avec hping3).
> Ça marche aussi avec XP et Vista, il faut juste plus de machines
> floodeuses pour obtenir le même effet.
>
> Mais je ne voit pas du tout l'interet de filtrer "fragmentation needed",
> cela dit, il y a surement une raison valables pour que les admins le
> fasse, et situ le sais, je serais bien curieux de le savoir aussi...


    A mon avis, il ne faut pas chercher la raison trop loin :
- la commande "ping" a des options très simples qui permettent de
générer un volume énorme de données, et ce à "moindre coût". En envoyant
des paquets de grosse taille, ou en mode "flood" (*), tu peux saturer
immédiatement une bande passante de 100Mbps. Et si le mode "flood" est
trop visible, rien ne t'empêche de lancer 100 ping en parallèle.


- si la machine visée ne propose pas de "services" (tout les ports étant
fermés), il se peut qu'elle réponde quand même aux "ping". Et dans ce
cas, une inondation de paquets ICMP peut la surcharger.

- enfin, dans le cas de l'attaque d'un serveur web, si tu inondes la
machine de requêtes GET/POST, cela se verra dans les logs. Alors que si
tu lui envoies des paquets ICMP, cela laissera moins de trace (hormis
dans les logs de Netfilter / Firewall).

(*) : Je ne mets volontairement pas les commandes en clair, afin que
cela ne donne pas trop de mauvaise idées à des scripts kiddies qui
passerait pas là. Mais la lecture du "man ping" suffit à retrouver les
bonnes options.

    Cordialement,


                            Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!