Qu'est-ce que ICMP (Internet Control Message Protocol) ?
ICMP, abréviation de « Internet Control Message Protocol », est un protocole utilisé dans la communication IP pour les notifications d'erreur, la vérification de l'état opérationnel des partenaires de communication et l'échange de messages de contrôle. L'Internet Engineering Task Force (IETF) a normalisé ICMP pour IPv4 sous la RFC 792 et pour IPv6 sous la RFC 4443.
Bien que ICMP fonctionne sur une couche supérieure comme TCP ou UDP, il est souvent traité comme une extension d'IP. Les notifications ICMP incluent les réponses d'écho, la destination inaccessible, l'extinction de la source (suppression de la transmission), les demandes de redirection et les demandes d'écho. Parmi celles-ci, les demandes d'écho et les réponses d'écho sont généralement utilisées pour confirmer l'état opérationnel des piles de protocoles TCP/IP distantes et sont implémentées dans la commande ping.
Cependant, les requêtes d'écho ICMP peuvent être exploitées dans les attaques ICMP Flood, une forme d'attaque DoS/DDoS. Dans cette méthode, le réseau de l'attaquant envoie de grandes quantités de paquets ICMP avec l'adresse IP source usurpée pour correspondre à l'adresse IP du serveur ciblé. Ces paquets sont diffusés sur le réseau de la victime. Les hôtes recevant les demandes d'écho ICMP envoient simultanément des réponses d'écho à l'adresse source usurpée, surchargeant le serveur cible et ralentissant la communication réseau. Ce type d'attaque est également appelé attaque Smurf en raison de l'usurpation de l'adresse source.
Les solutions F5 BIG-IP incluent une protection intégrée contre les attaques ICMP Flood, permettant d'atténuer ces menaces sans nécessiter de modifications de configuration importantes.