La “Tiny Fragment Attack” (attaque par minuscules fragments) est une technique utilisée par des cyberattaquants pour contourner les règles de filtrage de paquets dans les réseaux IP. Cette technique exploite le fait que de nombreuses implémentations du protocole IP permettent de définir une taille de fragment inhabituellement petite sur les paquets sortants.
Mécanisme d’attaque
Lorsque la taille du fragment est réduite au point de forcer certains champs de l’en-tête TCP d’un paquet TCP dans le second fragment, les règles de filtrage qui spécifient des modèles pour ces champs ne parviennent pas à les détecter. En d’autres termes, si l’implémentation du filtrage n’impose pas une taille minimale de fragment, un paquet non autorisé pourrait être laissé passer car il ne correspond à aucune règle du filtre.
Spécifications techniques
Selon la norme STD 5, RFC 791, chaque module Internet doit être capable de transférer un datagramme de 68 octets sans fragmentation supplémentaire. Cela s’explique par le fait qu’un en-tête Internet peut atteindre 60 octets, et que le fragment minimal est de 8 octets.
Implications de sécurité
L’attaque par minuscules fragments représente une menace significative pour la sécurité des réseaux. Les administrateurs réseau doivent être conscients de cette vulnérabilité et adopter des mesures pour la contrer. L’une des stratégies consiste à imposer une taille minimale des fragments dans les filtres de paquets pour garantir que toutes les parties pertinentes de l’en-tête TCP soient contenues dans un seul fragment et puissent être correctement analysées.
Atténuation
Pour atténuer le risque d’une Tiny Fragment Attack, il est conseillé de :
- Configurer les périphériques réseau pour rejeter les fragments trop petits.
- Mettre à jour les systèmes de filtrage pour reconnaître et gérer les paquets fragmentés de manière sécurisée.
- Mettre en œuvre des politiques de sécurité incluant le contrôle de la taille minimale des fragments.
En conclusion, la Tiny Fragment Attack est une technique sophistiquée mais connue, qui peut être traitée par des mesures de sécurité adéquates et une configuration correcte des périphériques réseau.
Leave a Reply