Différences

Ci-dessous, les différences entre deux révisions de la page.

--- bloc3s1:fragip [2022/09/13 20:17] – [Analyse des fragments IP] techer.charles_educ-valadon-limoges.fr
+++ bloc3s1:fragip [2022/09/13 20:29] (Version actuelle) – [MTU discovery (PMTUD)] techer.charles_educ-valadon-limoges.fr
@@ Ligne 22: / Ligne 22: @@
 {{ :bloc3s1:enteteip_1.png |}}
-===== Analyse des fragments IP =====
+<WRAP center round info>
-Lors de la fragmentation d'un paquet, seul le premier fragment contient les ports (TCP/UDP) utilisés par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original.
+Lors de la fragmentation d'un paquet, seul le **premier fragment contient les ports (TCP/UDP) utilisés** par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original.
+</WRAP>
 ==== MTU discovery (PMTUD) ====
 Lien : https://www.malekal.com/quest-ce-que-le-mtu-et-mss-et-optimiser/
@@ Ligne 35: / Ligne 37: @@
 Le site [[https://www.speedguide.net/analyzer.php|speedguide]] permet d’obtenir les réglages MTU et MSS d'un PC ainsi que d’autres paramètres TCP/IP.
-<WRAP center round info>
-Pour définir un volume individuel de MSS, il suffit de le préciser dans le champ **Options** avant la transmission des premières données : l’expéditeur et le destinataire conviennent généralement du volume maximum des segments TCP à expédier : **Maximum Segment Size – MSS**. Cela est fait lors de l'établissment de la connexion TCP (3 way handshake).
-</WRAP>
 Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**.
@@ Ligne 49: / Ligne 48: @@
 <code>
-ping www.yahoo.com -f -l 1900
+ping www.yahoo.com -f -l 1500
 </code>
 <WRAP center round info>
-La commande netsh de Windowqs permet de modifier la valeur de la MTU du PC.
+La commande netsh de Windows permet de modifier la valeur de la MTU du PC.
 </WRAP>
@@ Ligne 59: / Ligne 58: @@
 Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques :
-  * la menace est répartie sur plusieurs fragments.
+  * la menace est répartie sur **plusieurs fragments**.
   * Le code malveillant est découpé puis inséré dans des fragments consécutifs ,
-  * l’analyse unitaire des fragments par le PC ou le serveur pare-feu ne révèle pas l’attaque.
+  * l’analyse unitaire des fragments par le PC ou le serveur pare-feu **ne révèle pas l’attaque**.
-  * C’est au moment du réassemblage des fragments que la menace est reconstituée.
+  * C’est au moment du **réassemblage** des fragments que la menace est **reconstituée**.
 === Attaque par recouvrement ===
-L’usage de l’option **offset** est détourné" :
+Détournement de l’usage de l’option **offset** :
-  * définission de deux fragments consécutifs des valeurs d’offset qui se chevauchent ,
+  * utilisation de deux fragments consécutifs avec des valeurs d’offset qui se **chevauchent** ,
-  * mécanisme de chevauchement non standardisé, car non conforme,
+  * l'acceptation et la reconstitution du paquet se traduit par le second fragment qui écrase la fin du premier fragment et reconstitue la menace.
-  * l'acceptation et la reconstitution du paquet dépend du comportement de l’implémentation de la pile IP destinataire :
-    * Premier cas : si la pile IP destinataire place le 2nd fragment à l’offset indiqué,
-l’atta􀆋ua􀅶t ayant forgé un second fragment contenant 100 octets de bourrage en
-début de fragment, le 1er fragment écrase le début du 2nd fragment et l’atta􀆋ue
-est reconstituée.
-• Second cas : l’atta􀆋ua􀅶t a inversé la place du bourrage (en fin de premier
-fragment) et la seconde partie de la menace pour parvenir à ses fins, parce que le
-second fragment écrase la fin du premier fragment dans l’i􀅵pl􀄠􀅵e􀅶tatio􀅶 de la
-pile IP destinataire.
 {{ :bloc3s1:enteteip_2.png |}}