Aller au contenu principal

7.3. Déni de service (Denial of Service)

Les requêtes d'abonnement créent un état (S,G) dans les routeurs pour enregistrer l'abonnement, déclenchent un traitement sur ce routeur et peuvent entraîner un traitement sur les routeurs voisins. Un hôte PEUT initier une attaque par déni de service (DoS, Denial of Service) en demandant un grand nombre d'abonnements. Un déni de service PEUT résulter des situations suivantes :

  • L'arrivée d'un grand volume de trafic non souhaité, consommant des ressources réseau pour le livrer et des ressources hôte pour le rejeter ;

  • La création d'un grand nombre d'états de multicast spécifiques à la source dans les routeurs réseau, utilisant la mémoire et les ressources CPU des routeurs pour stocker et traiter ces états ; ou

  • La génération d'un grand volume de trafic de contrôle pour gérer les états spécifiques à la source, utilisant le CPU des routeurs et la bande passante réseau.

Pour réduire les dommages causés par une telle attaque, les routeurs PEUVENT disposer d'options de configuration pour limiter, par exemple, les éléments suivants :

  • Le débit total auquel tous les hôtes sur une interface donnée sont autorisés à initier des abonnements (pour limiter les dommages causés par des attaques par usurpation d'adresse source).

  • Le nombre total d'abonnements pouvant être initiés depuis une interface ou un hôte unique.

Cependant, les implémenteurs qui décident de limiter artificiellement le débit ou le nombre d'abonnements DEVRAIENT le faire avec prudence, car les applications futures PEUVENT utiliser un grand nombre de canaux. Des limites strictes sur le débit ou le nombre d'abonnements aux canaux entraveront le déploiement de telles applications.

Les routeurs DEVRAIENT vérifier que la source d'une requête d'abonnement est une adresse valide pour l'interface sur laquelle elle est reçue. Ne pas le faire aggraverait les attaques par usurpation d'adresse source.

Nous notons que ces attaques ne sont pas propres au SSM — elles existent également dans le multicast à source arbitraire (ASM, Any-Source Multicast).

Dernière mise à jour le