Qu’est-ce qu’une attaque Tear Drop ?

Lors d’une attaque de déni de service (DoS) par Teardrop, un client envoie un paquet d’informations malformées à une machine et exploite l’erreur qui se produit lorsque le paquet est réassemblé, provoquant une dégradation des performances du serveur.

Une attaque Teardrop est un type d’attaque par déni de service (DoS) (une attaque qui tente de rendre une ressource informatique indisponible en inondant un réseau ou un serveur de demandes et de données). L’attaquant envoie des paquets fragmentés au serveur cible, et dans certains cas, dus à une vulnérabilité TCP/IP, le serveur est incapable de réassembler le paquet, ce qui provoque une surcharge.

De nombreuses organisations s’appuient encore sur des systèmes d’exploitation anciens, obsolètes ou non corrigés pour exécuter des applications héritées dont elles ont encore besoin. Ces organisations sont vulnérables à des attaques Teardrop qui pourraient rendre inopérantes des applications critiques.

Les implémentations de TCP/IP diffèrent légèrement d’une plateforme à l’autre. Certains systèmes d’exploitation — en particulier les anciennes versions de Windows et de Linux — contiennent un bug dans le réassemblage de paquets TCP/IP fragmentés. Les attaques Teardrop sont conçues pour exploiter cette faiblesse. Dans une attaque Teardrop, le client envoie un paquet d’informations intentionnellement fragmenté à un appareil cible. Comme les paquets se chevauchent, une erreur se produit lorsque l’appareil tente de réassembler le paquet. L’attaque profite de cette erreur pour provoquer un crash fatal du système d’exploitation ou de l’application qui gère le paquet.

Par défaut, les services de livraison d’applications BIG-IP de F5 protègent contre ces attaques en vérifiant l’alignement des trames de paquets entrants et en éliminant les paquets mal formatés. Les paquets de type Teardrop sont ainsi supprimés et l’attaque empêchée avant que les paquets ne puissent passer dans le réseau protégé.