Prévention des trames Jumbo ICMP sur les commutateurs gérés de la gamme SG200/300

Objectif

L'objectif de cet article est d'expliquer pourquoi les commutateurs des gammes SG200 et SG300 empêchent certaines trames jumbo ICMP et permettent à d'autres trames jumbo de passer sur le commutateur. Cet article montre certains des problèmes dus aux trames jumbo ICMP. L'article explique également ce qu'est une attaque par déni de service (DoS) et comment elle est liée aux trames jumbo ICMP.

Périphériques pertinents

· SG200
•SG300

Trames Jumbo ICMP sur le commutateur

Ce qui suit explique ce que sont les trames jumbo et pourquoi les trames jumbo ICMP ne sont pas autorisées sur les commutateurs des gammes SG200 et SG300.

Trames jumbo

Les commutateurs Gigabit Ethernet (séries SG200 et SG300) et Fast Ethernet (séries SF200) prennent en charge les trames jumbo. Les trames Jumbo sont des trames Ethernet étendues dont la taille varie entre 1 518 octets standard et 9 000 octets. Ainsi, les trames jumbo augmentent la vitesse de transfert des données en transportant plus de données par trame, ce qui réduit la surcharge des en-têtes.

Internet Control Message Protocol (ICMP)

ICMP est un protocole de couche réseau qui fait partie de la suite de protocoles Internet qui génère des messages ICMP en réponse à des erreurs dans le datagramme IP ou à des fins de diagnostic ou de routage. Les erreurs ICMP sont toujours signalées à l’adresse IP source d’origine du datagramme d’origine. Bien que ce protocole soit très important pour garantir une distribution correcte des données, il peut être exploité par des utilisateurs malveillants pour mener différentes attaques par déni de service (DoS).

Les attaques par déni de service rendent les ressources réseau et serveur indisponibles ou ne répondent pas aux utilisateurs légitimes en inondant les réseaux de trafic erroné. Les attaques DoS par force consomment la bande passante du serveur et du réseau en inondant le serveur de trafic excessif. Les types d’attaques DoS les plus courants avec ICMP sont les suivants :

· Attaque par inondation de requêtes ping ICMP - Dans une attaque par inondation de requêtes ping ICMP, l'attaque envoie un grand nombre de paquets ping au système cible, généralement à l'aide de la commande ping de l'hôte. De cette façon, le système attaqué ne peut pas répondre au trafic légitime.

· Attaque ICMP Smurf - Une attaque ICMP Smurf inonde la machine victime de paquets ping usurpés. Il s’agit de paquets modifiés qui contiennent une adresse IP usurpée de la victime cible. Cela entraîne une diffusion des informations erronées à tous les hôtes du réseau local. Tous ces hôtes répondent en envoyant une réponse au système cible, qui est alors saturé de ces réponses.S’il y a beaucoup d’hôtes dans les réseaux utilisés, la victime sera effectivement usurpée par un trafic important.

Remarque : l'usurpation d'adresse IP fait référence à un paquet IP dont l'adresse IP source est falsifiée, dans le but de dissimuler les informations de l'expéditeur.

· Ping of Death : lors d'une attaque ping fatal, le pirate envoie à la victime un paquet de requête d'écho ICMP dont la taille est supérieure à la taille maximale de 65 536 octets. Étant donné que le paquet de requête d’écho ICMP reçu est plus grand que la taille de paquet IP normale, il doit être fragmenté. Par conséquent, la victime ne peut pas réassembler les paquets, de sorte que le système d'exploitation se bloque ou redémarre.

· Attaque nucléaire ICMP - Dans ce type d'attaque, les armes nucléaires sont envoyées à la victime par le biais d'un paquet ICMP avec des messages d'inaccessibilité de destination de type 3. Le résultat de cette attaque est que le système cible interrompt les communications avec les connexions existantes.

Dans les commutateurs des gammes SG200 et SG300, la prévention des dénis de service permet aux administrateurs réseau de configurer le blocage de certains paquets ICMP. Par défaut, certaines trames jumbo ICMP sont bloquées car de nombreuses attaques réseau telles que les attaques DoS utilisent ICMP. Pour des raisons de sécurité, les pare-feu de ces commutateurs bloquent donc les trames jumbo ICMP. Cela entraîne la fragmentation ICMP nécessaire et le message DF set n'atteint pas l'expéditeur. L'expéditeur n'obtient donc aucune information pour envoyer ses paquets à une taille plus petite, et n'obtient pas non plus de confirmation TCP que ses paquets ont réussi. Par la suite, l'expéditeur renvoie continuellement la trame à la même taille, mais elle n'atteint jamais sa destination, ce qui entraîne une condition connue sous le nom de « trou noir ».

Utilisez l'utilitaire de configuration Web pour configurer les trames jumbo, choisissez Port management > Port Settings et choisissez Security > Denial of Service Prevention > Security Suite Settings pour configurer la prévention DoS.