Différences

Ci-dessous, les différences entre deux révisions de la page.

--- bloc3s1:fragip [2022/09/13 09:25] – techer.charles_educ-valadon-limoges.fr
+++ bloc3s1:fragip [2022/09/13 20:29] (Version actuelle) – [MTU discovery (PMTUD)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 1: / Ligne 1: @@
 ====== Fiche savoir : la fragmentation IP ======
 ===== Présentation =====
-La taille maximale d’u􀅶 paquet IP est définie par la valeur de la MTU (Maximum transmission unit).
+La taille maximale d’un paquet IP qui est envoyé sur le réseau est définie par la valeur de la MTU (Maximum transmission unit) de l'interface de sortie.
 Ce paramètre permet à l'interface de sortie d'un équipement :
   * d'**adapter** la taille des paquets aux **capacités** de la couche 1 et 2 (Ethernet pour les réseaux locaux) pour un PC ou un routeur ;
-  * te tenir compte de l’utilisation d’encapsqulation spécifiques (VPN, PPP, …) pour un routeur.
+  * de tenir compte de l’utilisation d’encapsulation spécifiques (VPN, PPP, …) pour un routeur.
-Quand le paquet est acheminé jusqu’à sa destination, des liens ayant une capacité de transmission inférieure peuvent être utilisés. Dans ces cas, le paquet IP est **fragmenté** par les routeurs de transit dont la MTU serait inférieure :
+Lors de  l'acheminement du paquet dans les différents traversés jusqu’à sa destination, des liens ayant une capacité de transmission inférieure peuvent être utilisés. Dans ces cas, le paquet IP est **fragmenté** par les routeurs intermédiaires qui ont une MTU plus petite :
   * En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets.
   * En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets.
@@ Ligne 21: / Ligne 21: @@
 L’option **offset** indique la position de chaque portion des données qui ont dû être fragmentées.
+{{ :bloc3s1:enteteip_1.png |}}
+<WRAP center round info>
+Lors de la fragmentation d'un paquet, seul le **premier fragment contient les ports (TCP/UDP) utilisés** par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original.
+</WRAP>
 ==== MTU discovery (PMTUD) ====
 Lien : https://www.malekal.com/quest-ce-que-le-mtu-et-mss-et-optimiser/
@@ Ligne 33: / Ligne 37: @@
 Le site [[https://www.speedguide.net/analyzer.php|speedguide]] permet d’obtenir les réglages MTU et MSS d'un PC ainsi que d’autres paramètres TCP/IP.
-<WRAP center round info>
-Pour définir un volume individuel de MSS, il suffit de le préciser dans le champ **Options** avant la transmission des premières données : l’expéditeur et le destinataire conviennent généralement du volume maximum des segments TCP à expédier : **Maximum Segment Size – MSS**. Cela est fait lors de l'établissment de la connexion TCP (3 way handshake).
-</WRAP>
 Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**.
@@ Ligne 47: / Ligne 48: @@
 <code>
-ping www.yahoo.com -f -l 1900
+ping www.yahoo.com -f -l 1500
 </code>
 <WRAP center round info>
-La commande netsh de Windowqs permet de modifier la valeur de la MTU du PC.
+La commande netsh de Windows permet de modifier la valeur de la MTU du PC.
 </WRAP>
+=== Attaque par fragmentation IP ===
+Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques :
+  * la menace est répartie sur **plusieurs fragments**.
+  * Le code malveillant est découpé puis inséré dans des fragments consécutifs ,
+  * l’analyse unitaire des fragments par le PC ou le serveur pare-feu **ne révèle pas l’attaque**.
+  * C’est au moment du **réassemblage** des fragments que la menace est **reconstituée**.
+=== Attaque par recouvrement ===
+Détournement de l’usage de l’option **offset** :
+  * utilisation de deux fragments consécutifs avec des valeurs d’offset qui se **chevauchent** ,
+  * l'acceptation et la reconstitution du paquet se traduit par le second fragment qui écrase la fin du premier fragment et reconstitue la menace.
+{{ :bloc3s1:enteteip_2.png |}}