Les attaques par rebond constituent une famille d'attaques de système d'information qui consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché.

Exemple d'utilisation de l'attaque par rebond

modifier

Le smurf est une attaque par rebond. Celle-ci permet à un pirate de causer un déni de service.

L'assaillant utilise l'IP spoofing pour envoyer des requêtes ICMP echo request (ping) à plusieurs machines qui vont alors servir de rebonds. Il utilise l'adresse IP source d'une machine qu'il veut mettre hors service pour envoyer ses requêtes.
Toutes les machines répondront à l'adresse IP « spoofée » (usurpée).

Création d'un canal caché par rebonds

modifier

Les machines rebonds peuvent également être utilisées pour établir un canal caché entre deux machines.

À titre d'illustration, imaginons un pirate A souhaitant communiquer discrètement avec une machine B. A va utiliser une machine rebond C.

A envoie un paquet de demande de connexion ( TCP SYN ) à la machine C en utilisant comme adresse de réponse, l'adresse de B et comme numéro de séquence X contenant les informations à transmettre.
La machine C répond alors à B ( TCP SYN/ACK ) en répétant le numéro de séquence x.
B récupère les informations et valide éventuellement la connexion pour que cela reste le plus discret possible (TCP ACK).

Ce genre de canal reste très difficile à détecter.

Voir aussi

modifier