Aller au contenu principal

8. Security Considerations (Considérations de sécurité)

8. Security Considerations (Considérations de sécurité)

Ce mécanisme de Path MTU Discovery rend possibles deux attaques par déni de service, toutes deux basées sur une partie malveillante envoyant de faux messages Datagram Too Big à un hôte Internet.

Dans la première attaque, le faux message indique un PMTU beaucoup plus petit que la réalité. Cela ne devrait pas arrêter complètement le flux de données, puisque l'hôte victime ne devrait jamais définir son estimation PMTU en dessous du minimum absolu, mais à 8 octets de données IP par datagramme, la progression pourrait être lente.

Dans l'autre attaque, le faux message indique un PMTU supérieur à la réalité. Si cru, cela pourrait causer un blocage temporaire car la victime envoie des datagrammes qui seront abandonnés par un routeur. En un temps d'aller-retour, l'hôte découvrirait son erreur (en recevant des messages Datagram Too Big de ce routeur), mais une répétition fréquente de cette attaque pourrait causer l'abandon de nombreux datagrammes. Cependant, un hôte ne devrait jamais augmenter son estimation du PMTU sur la base d'un message Datagram Too Big, donc ne devrait pas être vulnérable à cette attaque.

Une partie malveillante pourrait également causer des problèmes si elle pouvait empêcher une victime de recevoir des messages Datagram Too Big légitimes, mais dans ce cas, des attaques par déni de service plus simples sont disponibles.

Dernière mise à jour le