Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
bloc3s1:fragip [2022/09/13 09:24] techer.charles_educ-valadon-limoges.fr [Présentation] |
bloc3s1:fragip [2022/09/13 20:23] techer.charles_educ-valadon-limoges.fr [MTU discovery (PMTUD)] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Fiche savoir : la fragmentation IP ====== | ====== Fiche savoir : la fragmentation IP ====== | ||
===== Présentation ===== | ===== Présentation ===== | ||
- | La taille maximale d’u paquet IP est définie par la valeur de la MTU (Maximum transmission unit). | + | La taille maximale d’un paquet IP qui est envoyé sur le réseau |
Ce paramètre permet à l' | Ce paramètre permet à l' | ||
* d' | * d' | ||
- | * te tenir compte de l’utilisation d’encapsqulation | + | * de tenir compte de l’utilisation d’encapsulation |
- | Quand le paquet | + | Lors de l' |
* En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets. | * En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets. | ||
* En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets. | * En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets. | ||
Ligne 13: | Ligne 13: | ||
<WRAP center round info> | <WRAP center round info> | ||
Un paquet IP qui ne peut être acheminé compte tenu de la MTU de l' | Un paquet IP qui ne peut être acheminé compte tenu de la MTU de l' | ||
+ | </ | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Une valeur **optimale** de MTU correspond à la valeur maximale que le réseau accepte. S’il est trop bas, cela ajoute de la **latence**. | ||
</ | </ | ||
L’option **offset** indique la position de chaque portion des données qui ont dû être fragmentées. | L’option **offset** indique la position de chaque portion des données qui ont dû être fragmentées. | ||
+ | {{ : | ||
+ | <WRAP center round info> | ||
+ | Lors de la fragmentation d'un paquet, seul le **premier fragment contient les ports (TCP/UDP) utilisés** par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original. | ||
+ | </ | ||
+ | |||
==== MTU discovery (PMTUD) ==== | ==== MTU discovery (PMTUD) ==== | ||
Lien : https:// | Lien : https:// | ||
Ligne 29: | Ligne 37: | ||
Le site [[https:// | Le site [[https:// | ||
- | <WRAP center round info> | ||
- | Pour définir un volume individuel de MSS, il suffit de le préciser dans le champ **Options** avant la transmission des premières données : l’expéditeur et le destinataire conviennent généralement du volume maximum des segments TCP à expédier : **Maximum Segment Size – MSS**. Cela est fait lors de l' | ||
- | </ | ||
Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**. | Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**. | ||
Ligne 43: | Ligne 48: | ||
< | < | ||
- | ping www.yahoo.com -f -l 1900 | + | ping www.yahoo.com -f -l 1500 |
</ | </ | ||
<WRAP center round info> | <WRAP center round info> | ||
- | La commande netsh de Windowqs | + | La commande netsh de Windows |
</ | </ | ||
+ | === Attaque par fragmentation IP === | ||
+ | |||
+ | Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques : | ||
+ | * la menace est répartie sur plusieurs fragments. | ||
+ | * Le code malveillant est découpé puis inséré dans des fragments consécutifs , | ||
+ | * l’analyse unitaire des fragments par le PC ou le serveur pare-feu ne révèle pas l’attaque. | ||
+ | * C’est au moment du réassemblage des fragments que la menace est reconstituée. | ||
+ | === Attaque par recouvrement === | ||
+ | L’usage de l’option **offset** est détourné" | ||
+ | * définission de deux fragments consécutifs des valeurs d’offset qui se chevauchent , | ||
+ | * mécanisme de chevauchement non standardisé, | ||
+ | * l' | ||
+ | * Premier cas : si la pile IP destinataire place le 2nd fragment à l’offset indiqué, | ||
+ | l’attauat ayant forgé un second fragment contenant 100 octets de bourrage en | ||
+ | début de fragment, le 1er fragment écrase le début du 2nd fragment et l’attaue | ||
+ | est reconstituée. | ||
+ | • Second cas : l’attauat a inversé la place du bourrage (en fin de premier | ||
+ | fragment) et la seconde partie de la menace pour parvenir à ses fins, parce que le | ||
+ | second fragment écrase la fin du premier fragment dans l’ipletatio de la | ||
+ | pile IP destinataire. | ||
+ | {{ : |