Tievolu Tievolu TievoluUn ICMP Flood ou Ping Flood est un type d'attaque par déni de service (DoS) ou par déni de service distribué (DDoS) dans lequel un attaquant envoie un grand nombre de paquets ICMP Echo Request (également connus sous le nom de paquets « ping ») à un système cible. L'objectif est de surcharger la bande passante ou les ressources du système cible afin qu'il ne puisse plus traiter les requêtes légitimes. Cela peut immédiatement entraîner des pannes ou des dégradations significatives des performances sur les systèmes non protégés.
ICMP (Internet Control Message Protocol) sert en réalité à informer les équipements réseau des problèmes de connexion, erreurs ou informations de contrôle – par ex. via la commande « ping » bien connue. Dans un ICMP Flood, l'attaquant exploite ce protocole en envoyant massivement des messages ICMP Echo Request à une cible. Le système cible se sent obligé de répondre à chaque requête individuelle avec une Echo Reply. Cela sature la bande passante réseau, le CPU et les autres ressources du système cible et souvent aussi de son infrastructure réseau.
Particulièrement critique : les équipements réseau comme les routeurs et les pare-feux peuvent également être surchargés par un très grand nombre de paquets ICMP. Ces dispositifs reçoivent et traitent chaque paquet, créant d'autres goulots d'étranglement et permettant à l'attaque de toucher également les segments réseau derrière la cible réelle.
Dans cette variante, l'attaque est menée à l'aide d'un botnet composé de nombreux appareils compromis. Cela génère un volume extrêmement important de requêtes ICMP provenant de diverses sources, rendant difficile l'identification et le blocage des attaquants individuels. La charge est répartie sur de nombreux systèmes sur internet.
Ici, un seul attaquant envoie un déluge de paquets ICMP au système cible. Ces attaques sont moins courantes car elles sont plus faciles à bloquer (par ex. en bloquant l'IP source). Généralement effectuée depuis une seule source, mais reste dangereuse avec suffisamment de bande passante.
Pour rendre la défense plus difficile, l'attaquant peut falsifier l'adresse IP source des paquets ICMP (usurpation d'IP). Cela rend plus difficile la création de règles de filtrage ou le traçage de l'origine de l'attaque. Cette méthode est souvent combinée avec des botnets DDoS.
Le ICMP Flooding peut perturber massivement les réseaux avec relativement peu d'effort technique. Contrairement aux attaques plus complexes, l'ICMP Flood cible spécifiquement la surcharge de la bande passante ou du CPU – à la fois du système cible et des équipements réseau directement en amont. Même les petites connexions réseau (« dernier kilomètre ») peuvent être saturées par de grands volumes de trafic ICMP.
Pour se protéger contre les attaques DDoS ICMP Flood, plusieurs options sont disponibles :
La mesure de protection la plus courante consiste à filtrer spécifiquement ou à bloquer complètement le trafic ICMP sur les routeurs ou les pare-feux – au moins depuis internet et aux interfaces critiques. L'ICMP n'est pas strictement nécessaire pour de nombreux services, mais un blocage complet doit être soigneusement réfléchi pour éviter de restreindre inutilement les applications légitimes (comme les outils de diagnostic).
Les pare-feux et de nombreux commutateurs offrent la possibilité de limiter le nombre de requêtes ICMP autorisées par seconde par IP source. Cela permet d'atténuer considérablement les attaques DDoS en rejetant automatiquement le trafic excessif. Les systèmes modernes détectent les fluctuations inhabituelles et répondent par un blocage temporaire ou un ralentissement.
La surveillance et la journalisation du trafic ICMP aident à détecter les attaques tôt. Les systèmes modernes de surveillance réseau peuvent identifier les ICMP Floods en fonction de leurs modèles inhabituels et déclencher automatiquement des contre-mesures.
Les fournisseurs de protection DDoS externes ou les FAI offrent des mécanismes de protection au niveau réseau qui filtrent spécifiquement les ICMP Floods ou initient des contre-mesures comme le blackholing avant que le trafic n'atteigne votre propre réseau.
Tievolu protège spécifiquement contre les attaques ICMP Flood avec la puissante solution de protection DDoS « Tievolu PYRUS ». Le trafic ICMP entrant est continuellement analysé, et les modèles inhabituels sont identifiés tôt par des algorithmes assistés par IA. En cas d'attaque, les règles de filtrage et de limitation de débit sont activées automatiquement pour permettre au trafic réseau légitime de continuer et bloquer le trafic malveillant. La défense s'effectue aussi bien au niveau réseau qu'applicatif.
De plus, le Tievolu Cloud Firewall offre la possibilité de définir des règles de filtrage ICMP individuellement personnalisables. Via cela, les clients peuvent par exemple bloquer les ICMP Echo Requests provenant d'internet, définir des seuils pour ICMP et effectuer des blocages géographiques ou ASN ciblés. En combinaison avec d'autres mesures de défense DDoS, vous bénéficiez ainsi d'une protection optimale et multicouche contre les attaques volumétriques comme l'ICMP Flood.
