Attaque par redirection ICMP

L’attaque par redirection ICMP est une technique utilisée pour attaquer un réseau local en utilisant le protocole ICMP. Cette technique peut permettre à l'attaquant de détourner des flux de communications transitant entre une machine cible et une passerelle, par exemple un routeur ou une box internet. L'attaquant peut ensuite capturer, modifier, voire bloquer les paquets réseaux.

L’attaque se base sur la fonctionnalité de redirection du protocole ICMP. Elle permet à un routeur d’informer une machine lui envoyant des paquets, que sa route pour atteindre sa destination n’est pas optimale. Le routeur lui indique donc l’adresse IP du prochain routeur (Gateway) sur son chemin, ce qui modifie en conséquence la table de routage de la machine.

L’attaque consiste donc à forger un paquet ICMP de type redirection avec une adresse IP choisie par l’attaquant qui peut être la sienne ou une celle d’une autre machine du réseau, et de l’envoyer à la machine cible. Ceci a pour effet de modifier et compromettre la table de routage de la machine cible. Son trafic est donc redirigé vers l’adresse IP de destination choisie par l’attaquant et permet la mise en place d’attaque de type Man-in-the-middle ou Denial of service.

Illustration du propos

modifier
 
Exemple d'une attaque par redirection ICMP

Définition du contexte :

Réseau local :

192.168.1.254 : passerelle
192.168.1.1 : machine cible
192.168.1.2 : attaquant

Table de routage de la machine cible avant l'attaque:

192.168.2.0 via 192.168.1.254

L'attaquant va forger puis envoyer un paquet ''ICMP''.

Paquet ''ICMP":

type = 5
code = 1
gw = "192.168.1.2"

Le type 5 correspond au type redirection et le code 1 à une redirection pour un hôte.

Table de routage de la machine cible après l'attaque:

192.168.2.0 via 192.168.1.2

Contre-Mesure

modifier

Une solution efficace pour empêcher ce type d’attaque est de désactiver la redirection ICMP sur les machines.

Sous Linux, les options de configuration suivantes doivent être définies à 0 pour désactiver l'ICMP redirect[1] :

  • /proc/sys/net/ipv4/conf/*/accept_redirects
  • /proc/sys/net/ipv4/conf/*/secure_redirects

Sous Windows dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters’ on modifie 'EnableICMPRedirect' à 0.

Références

modifier
  1. Recommandations de sécurité relatives à un système GNU/Linux : Guide ANSSI, (lire en ligne)

Voir aussi

modifier

Articles internes

modifier

Liens externes

modifier