Olivier Allard-Jacquin a écrit :
> A mon avis, il ne faut pas chercher la raison trop loin :
> - la commande "ping" a des options très simples qui permettent de
> générer un volume énorme de données, et ce à "moindre coût". En envoyant
> des paquets de grosse taille, ou en mode "flood" (*), tu peux saturer
> immédiatement une bande passante de 100Mbps. Et si le mode "flood" est
> trop visible, rien ne t'empêche de lancer 100 ping en parallèle.
Oui, bien sur il y a toujours l'éventualité d'un flood, mais il est
possible de limiter le nombre de paquet ICMP par seconde, soit au niveau
firewall, soit au niveau des machines elles-même (à l'aide de sysctl
sous linux, voir man icmp). Ainsi on peut se protéger des attaques par
flood sans toutefois perdre certaines fonctionnalités cruciales d'ICMP.
Et l'ironie dans le cas qui nous intéresse, c'est que c'est la politique
de protection contre les DoS qui a constitué un DoS...
Cet exemple montre bien qu'une politique de sécurité qui empêche le
fonctionnement normal des protocoles de couche 3 et 4 est une mauvaise
politique de sécurité.
Limiter le nombre de paquets ICMP par seconde est une bien meilleure
solution que bloquer tout simplement ce protocole qui, rappelons-le, est
essentiel au fonctionnement d'IP...
- --
Vincent Riquer || vincent@???
37 avenue de Vizille || vincent@???
38000 Grenoble ||============================
(+33) 6 09 71 30 85 \| DJ_Black_Red@???
http://melotrope.com | http://blog.melotrope.com