Glossaire : Termes et définitions de la cybersécurité

Qu'est-ce qu'une attaque en forme de larme ?

Lors d'une attaque par déni de service (DoS), un client envoie un paquet d'informations mal formé à une machine et exploite l'erreur qui se produit lorsque le paquet est réassemblé, ce qui entraîne une dégradation des performances du serveur.

Qu'est-ce qu'une attaque en forme de larme ?

Une attaque en goutte d'eau est un type d'attaque par déni de service (DoS) (une attaque qui tente de rendre une ressource informatique indisponible en inondant un réseau ou un serveur de requêtes et de données). L’attaquant envoie des paquets fragmentés au serveur cible et, dans certains cas où il existe une vulnérabilité TCP/IP, le serveur est incapable de réassembler le paquet, ce qui provoque une surcharge.

Pourquoi les attaques en forme de larme sont-elles importantes ?

De nombreuses organisations s’appuient encore sur des systèmes d’exploitation plus anciens, obsolètes ou non corrigés pour exécuter les applications héritées dont elles ont encore besoin. Ces organisations sont vulnérables aux attaques en forme de goutte d’eau qui menacent de détruire des applications critiques.

Comment fonctionne une attaque en forme de larme ?

Les implémentations TCP/IP diffèrent légèrement d’une plateforme à l’autre. Certains systèmes d’exploitation, en particulier les anciennes versions de Windows et Linux, contiennent un bogue de réassemblage de fragmentation TCP/IP. Les attaques en forme de larme sont conçues pour exploiter cette faiblesse. Lors d'une attaque en forme de larme, le client envoie un paquet d'informations intentionnellement fragmenté à un périphérique cible. Étant donné que les paquets se chevauchent, une erreur se produit lorsque le périphérique tente de réassembler le paquet. L’attaque profite de cette erreur pour provoquer un crash fatal dans le système d’exploitation ou l’application qui gère le paquet.

Comment F5 gère-t-il les attaques en forme de larme ?

Par défaut, les services de distribution d’applications BIG-IP de F5 protègent contre les attaques en goutte d’eau en vérifiant l’alignement des trames des paquets entrants et en supprimant les paquets mal formatés. Les paquets Teardrop sont donc abandonnés et l'attaque est empêchée avant que les paquets puissent passer dans le réseau protégé.