Broadcast storm

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Page d'aide sur l'homonymie Pour les articles homonymes, voir Tempête (homonymie).
image illustrant la sécurité informatique
Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Le broadcast storm (ou tempête de diffusion ou encore tempête de broadcast) est une saturation du réseau entrainant son blocage lors de laquelle les messages (trames) transmis en diffusion (souvent des messages d'information, de demande d'information ou d'erreur) donnent lieu à une réponse des hôtes sur le même domaine de diffusion. Dans certains cas, cette panne provoque une situation de déni de service (DoS).

Causes[modifier | modifier le code]

La cause la plus courante est une boucle (circuit) ethernet dans la connexion avec des commutateurs réseau (c'est à dire plusieurs chemins existent entre les postes). Comme les trames de diffusion sont transmises sur tous les ports, les commutateurs suivants vont retransmettre les trames déjà reçues, et donc saturer le réseau. Comme la couche niveau 2 sur les entêtes ethernet ne contient pas de champ TTL (durée de vie limitée), les trames vont transiter indéfiniment. Pour pallier le risque de boucles, on peut mettre en œuvre des protocoles tels que le Shortest Path Bridging ou le Spanning Tree Protocol.

Dans certains cas, une tempête de diffusion peut avoir été volontairement provoquée dans le but de créer un déni de service (DoS). Ceci peut être accentué en utilisant des techniques telles que l'attaque par rebond qui consiste à envoyer un très grand nombre de requêtes ICMP Echo (ping) vers une adresse de diffusion, avec chacune des trames ayant été trafiquée pour avoir comme source l'adresse de la victime. Quand ces trames trafiquées arrivent sur le réseau final, tous les postes sur ce réseau vont répondre à l'adresse trafiquée (de la victime). La trame initiale (Echo Request) est multipliée par le nombre de postes sur le réseau. La quantité de réponses générées en direction de la victime sature le réseau et utilise les ressources processeur de la victime, et parfois provoque un plantage de la machine.

Dans le cas de réseaux sans fil, un paquet de désassociation trafiqué avec l'adresse du point d'accès envoyé à l'adresse de diffusion peut aussi générer une attaque par déni de service.

Prévention[modifier | modifier le code]

  • Les boucles de commutateurs peuvent être prévenues avec les protocoles Shortest Path Bridging (SPB) ou le Spanning Tree (STP).
  • On peut aussi filtrer les diffusions au niveau 3, typiquement avec des routeurs (ou des commutateurs supportant le filtrage au niveau 3).
  • Segmenter le réseau en utilisant des routeurs (ou en déployant des VLANs).
  • Certains routeurs et pare-feu ont une fonction pour détecter ces attaques.
  • Certains commutateurs ont une fonction permettant de couper tout le trafic de type diffusion dans le cas où il détecte une bande passante anormalement élevée.

Erreurs d'interprétation[modifier | modifier le code]

Une des erreurs les plus courantes consiste à mélanger les notions de boucles de routage et les tempêtes de diffusion. Fonctionnant au niveau 3, les routeurs ne transmettent pas les diffusions de trames du niveau MAC (niveau 2).

De manière courante, on peut penser que seuls les routeurs peuvent filtrer le trafic et donc filtrer les diffusions de trames. Les commutateurs nouvelle génération le peuvent aussi, par l'intermédiaire de VLANs par exemple. Pour compliquer les choses encore un peu plus, certains matériels vendus comme des commutateurs ont des fonctionnalités de routage et les utilisent automatiquement s'ils ont des interfaces sur différents réseaux locaux ou VLANs.

Références[modifier | modifier le code]