Attaque par rebond
Les attaques par rebond constituent une famille d'attaques de système d'information qui consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché.
Exemple d'utilisation de l'attaque par rebond
modifierLe smurf est une attaque par rebond. Celle-ci permet à un pirate de causer un déni de service.
- L'assaillant utilise l'IP spoofing pour envoyer des requêtes ICMP echo request (ping) à plusieurs machines qui vont alors servir de rebonds. Il utilise l'adresse IP source d'une machine qu'il veut mettre hors service pour envoyer ses requêtes.
- Toutes les machines répondront à l'adresse IP « spoofée » (usurpée).
Création d'un canal caché par rebonds
modifierLes machines rebonds peuvent également être utilisées pour établir un canal caché entre deux machines.
À titre d'illustration, imaginons un pirate A souhaitant communiquer discrètement avec une machine B. A va utiliser une machine rebond C.
- A envoie un paquet de demande de connexion ( TCP SYN ) à la machine C en utilisant comme adresse de réponse, l'adresse de B et comme numéro de séquence X contenant les informations à transmettre.
- La machine C répond alors à B ( TCP SYN/ACK ) en répétant le numéro de séquence x.
- B récupère les informations et valide éventuellement la connexion pour que cela reste le plus discret possible (TCP ACK).
Ce genre de canal reste très difficile à détecter.