Différences

Ci-dessous, les différences entre deux révisions de la page.

--- bloc3s1:fragip [2022/09/13 09:35] – [MTU discovery (PMTUD)] techer.charles_educ-valadon-limoges.fr
+++ bloc3s1:fragip [2022/09/13 20:29] (Version actuelle) – [MTU discovery (PMTUD)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 1: / Ligne 1: @@
 ====== Fiche savoir : la fragmentation IP ======
 ===== Présentation =====
-La taille maximale d’u􀅶 paquet IP est définie par la valeur de la MTU (Maximum transmission unit).
+La taille maximale d’un paquet IP qui est envoyé sur le réseau est définie par la valeur de la MTU (Maximum transmission unit) de l'interface de sortie.
 Ce paramètre permet à l'interface de sortie d'un équipement :
   * d'**adapter** la taille des paquets aux **capacités** de la couche 1 et 2 (Ethernet pour les réseaux locaux) pour un PC ou un routeur ;
-  * te tenir compte de l’utilisation d’encapsqulation spécifiques (VPN, PPP, …) pour un routeur.
+  * de tenir compte de l’utilisation d’encapsulation spécifiques (VPN, PPP, …) pour un routeur.
-Quand le paquet est acheminé jusqu’à sa destination, des liens ayant une capacité de transmission inférieure peuvent être utilisés. Dans ces cas, le paquet IP est **fragmenté** par les routeurs de transit dont la MTU serait inférieure :
+Lors de  l'acheminement du paquet dans les différents traversés jusqu’à sa destination, des liens ayant une capacité de transmission inférieure peuvent être utilisés. Dans ces cas, le paquet IP est **fragmenté** par les routeurs intermédiaires qui ont une MTU plus petite :
   * En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets.
   * En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets.
@@ Ligne 22: / Ligne 22: @@
 {{ :bloc3s1:enteteip_1.png |}}
+<WRAP center round info>
+Lors de la fragmentation d'un paquet, seul le **premier fragment contient les ports (TCP/UDP) utilisés** par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original.
+</WRAP>
 ==== MTU discovery (PMTUD) ====
 Lien : https://www.malekal.com/quest-ce-que-le-mtu-et-mss-et-optimiser/
@@ Ligne 33: / Ligne 37: @@
 Le site [[https://www.speedguide.net/analyzer.php|speedguide]] permet d’obtenir les réglages MTU et MSS d'un PC ainsi que d’autres paramètres TCP/IP.
-<WRAP center round info>
-Pour définir un volume individuel de MSS, il suffit de le préciser dans le champ **Options** avant la transmission des premières données : l’expéditeur et le destinataire conviennent généralement du volume maximum des segments TCP à expédier : **Maximum Segment Size – MSS**. Cela est fait lors de l'établissment de la connexion TCP (3 way handshake).
-</WRAP>
 Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**.
@@ Ligne 47: / Ligne 48: @@
 <code>
-ping www.yahoo.com -f -l 1900
+ping www.yahoo.com -f -l 1500
 </code>
 <WRAP center round info>
-La commande netsh de Windowqs permet de modifier la valeur de la MTU du PC.
+La commande netsh de Windows permet de modifier la valeur de la MTU du PC.
 </WRAP>
@@ Ligne 57: / Ligne 58: @@
 Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques :
-  * la menace est répartie sur plusieurs fragments.
+  * la menace est répartie sur **plusieurs fragments**.
   * Le code malveillant est découpé puis inséré dans des fragments consécutifs ,
-  * l’analyse unitaire des fragments par le PC ou le serveur pare-feu ne révèle pas l’attaque.
+  * l’analyse unitaire des fragments par le PC ou le serveur pare-feu **ne révèle pas l’attaque**.
-  * C’est au moment du réassemblage des fragments que la menace est reconstituée.
+  * C’est au moment du **réassemblage** des fragments que la menace est **reconstituée**.
 === Attaque par recouvrement ===
-L’usage de l’option **offset** est détourné" :
+Détournement de l’usage de l’option **offset** :
-  * définission de deux fragments consécutifs des valeurs d’offset qui se chevauchent ,
+  * utilisation de deux fragments consécutifs avec des valeurs d’offset qui se **chevauchent** ,
-  * mécanisme de chevauchement non standardisé, car non conforme,
+  * l'acceptation et la reconstitution du paquet se traduit par le second fragment qui écrase la fin du premier fragment et reconstitue la menace.
-  * l'acceptation et la reconstitution du paquet dépend du comportement de l’implémentation de la pile IP destinataire :
-    * Premier cas : si la pile IP destinataire place le 2nd fragment à l’offset indiqué,
-l’atta􀆋ua􀅶t ayant forgé un second fragment contenant 100 octets de bourrage en
-début de fragment, le 1er fragment écrase le début du 2nd fragment et l’atta􀆋ue
-est reconstituée.
-• Second cas : l’atta􀆋ua􀅶t a inversé la place du bourrage (en fin de premier
-fragment) et la seconde partie de la menace pour parvenir à ses fins, parce que le
-second fragment écrase la fin du premier fragment dans l’i􀅵pl􀄠􀅵e􀅶tatio􀅶 de la
-pile IP destinataire.
 {{ :bloc3s1:enteteip_2.png |}}