Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
bloc3s1:fragip [2022/09/13 15:02] techer.charles_educ-valadon-limoges.fr |
bloc3s1:fragip [2022/09/13 20:29] (Version actuelle) techer.charles_educ-valadon-limoges.fr [MTU discovery (PMTUD)] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
====== Fiche savoir : la fragmentation IP ====== | ====== Fiche savoir : la fragmentation IP ====== | ||
===== Présentation ===== | ===== Présentation ===== | ||
- | La taille maximale d’un paquet IP est définie par la valeur de la MTU (Maximum transmission unit). | + | La taille maximale d’un paquet IP qui est envoyé sur le réseau |
Ce paramètre permet à l' | Ce paramètre permet à l' | ||
* d' | * d' | ||
- | * te tenir compte de l’utilisation d’encapsqulation | + | * de tenir compte de l’utilisation d’encapsulation |
- | Quand le paquet | + | Lors de l' |
* En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets. | * En IPv4, la fragmentation d’un paquet est **interdite*** lorsque le bit **DF** est positionné dans l’en-tête IP. La MTU minimale est de 576 octets. | ||
* En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets. | * En IPv6, la fragmentation par un équipement intermédiaire est **interdite**. La MTU minimale est de 1280 octets. | ||
Ligne 22: | Ligne 22: | ||
{{ : | {{ : | ||
+ | <WRAP center round info> | ||
+ | Lors de la fragmentation d'un paquet, seul le **premier fragment contient les ports (TCP/UDP) utilisés** par la connexion. Pour que le pare-feu puisse analyser tous les fragments celui-ci doit reconstituer le paquet original. | ||
+ | </ | ||
+ | |||
==== MTU discovery (PMTUD) ==== | ==== MTU discovery (PMTUD) ==== | ||
Lien : https:// | Lien : https:// | ||
Ligne 33: | Ligne 37: | ||
Le site [[https:// | Le site [[https:// | ||
- | <WRAP center round info> | ||
- | Pour définir un volume individuel de MSS, il suffit de le préciser dans le champ **Options** avant la transmission des premières données : l’expéditeur et le destinataire conviennent généralement du volume maximum des segments TCP à expédier : **Maximum Segment Size – MSS**. Cela est fait lors de l' | ||
- | </ | ||
Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**. | Des ajustements supplémentaires doivent alors être faits pour la partie **Données utiles**. | ||
Ligne 47: | Ligne 48: | ||
< | < | ||
- | ping www.yahoo.com -f -l 1900 | + | ping www.yahoo.com -f -l 1500 |
</ | </ | ||
<WRAP center round info> | <WRAP center round info> | ||
- | La commande netsh de Windowqs | + | La commande netsh de Windows |
</ | </ | ||
Ligne 57: | Ligne 58: | ||
Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques : | Le mécanisme de fragmentation IP peut être détourné pour véhiculer des attaques : | ||
- | * la menace est répartie sur plusieurs fragments. | + | * la menace est répartie sur **plusieurs fragments**. |
* Le code malveillant est découpé puis inséré dans des fragments consécutifs , | * Le code malveillant est découpé puis inséré dans des fragments consécutifs , | ||
- | * l’analyse unitaire des fragments par le PC ou le serveur pare-feu ne révèle pas l’attaque. | + | * l’analyse unitaire des fragments par le PC ou le serveur pare-feu |
- | * C’est au moment du réassemblage des fragments que la menace est reconstituée. | + | * C’est au moment du **réassemblage** des fragments que la menace est **reconstituée**. |
=== Attaque par recouvrement === | === Attaque par recouvrement === | ||
- | L’usage de l’option **offset** | + | Détournement de l’usage de l’option **offset** : |
- | * définission | + | * utilisation |
- | | + | * l' |
- | * l' | + | |
- | * Premier cas : si la pile IP destinataire place le 2nd fragment à l’offset indiqué, | + | |
- | l’attauat ayant forgé un second fragment | + | |
- | début de fragment, le 1er fragment | + | |
- | est reconstituée. | + | |
- | • Second cas : l’attauat a inversé | + | |
- | fragment) et la seconde partie de la menace | + | |
- | second fragment écrase la fin du premier fragment dans l’ipletatio de la | + | |
- | pile IP destinataire. | + | |
{{ : | {{ : |