L’attaque par chevauchement de fragments (Fragment Overlap Attack) est un type d’attaque basé sur la fragmentation des paquets TCP/IP. Pour mieux comprendre cette attaque, il est utile d’avoir des connaissances de base sur le fonctionnement de la fragmentation des paquets IP.

Fragmentation des paquets IP

L’IP (Internet Protocol) permet aux paquets d’être divisés en fragments pour garantir un transport plus efficace à travers différents types de supports. Cette fragmentation est nécessaire car les différents réseaux peuvent avoir des limites variables sur la taille maximale des paquets qu’ils peuvent transporter.

Un paquet IP peut être divisé en plusieurs fragments, chacun transportant une partie du paquet original. Lorsque les fragments atteignent leur destination finale, ils sont réassemblés pour reformer le paquet original. Lors de la fragmentation, le paquet TCP (et son en-tête) est encapsulé à l’intérieur du paquet IP.

Le mécanisme de l’attaque

Dans l’attaque par chevauchement de fragments, l’attaquant exploite une vulnérabilité dans la gestion de la fragmentation des paquets IP. Dans ce type d’attaque, le deuxième fragment envoyé contient un décalage (offset) erroné. L’offset est une valeur qui indique la position d’un fragment à l’intérieur du paquet original.

Lorsque le périphérique de destination tente de reconstruire le paquet original à partir des fragments reçus, l’offset erroné provoque l’écrasement d’une partie des données. En particulier, l’un des objectifs courants de cette attaque est d’écraser le numéro de port contenu dans l’en-tête TCP.

Implications en matière de sécurité

L’écrasement du numéro de port peut avoir diverses implications en matière de sécurité. Il peut être utilisé pour rediriger le trafic vers des ports différents, ouvrant ainsi la voie à d’autres types d’attaques telles que le détournement de session ou l’injection de données malveillantes. Ce type d’attaque peut compromettre la sécurité des communications et l’intégrité des données transmises.

Prévention

Pour se protéger contre une attaque par chevauchement de fragments, il est essentiel d’adopter des mesures de sécurité telles que :

• Mettre en œuvre des contrôles rigoureux sur les pare-feux pour vérifier l’intégrité des fragments IP.
• Utiliser des systèmes de détection d’intrusion (IDS) pour identifier et bloquer les tentatives de fragmentation anormale.
• Mettre régulièrement à jour les logiciels et les micrologiciels (firmwares) des périphériques réseau pour corriger les vulnérabilités connues.

Avec une compréhension et une mise en œuvre appropriées des mesures de sécurité, il est possible d’atténuer les risques associés aux attaques par chevauchement de fragments et de maintenir l’intégrité des communications réseau.