Broadcast storm
Le broadcast storm (ou tempĂȘte de diffusion ou encore tempĂȘte de broadcast) est une saturation du rĂ©seau entraĂźnant son blocage lors de laquelle les messages (trames) transmis en diffusion (souvent des messages d'information, de demande d'information ou d'erreur) donnent lieu Ă une rĂ©ponse des hĂŽtes sur le mĂȘme domaine de diffusion. Dans certains cas, cette dĂ©faillance provoque une situation de dĂ©ni de service (DoS).
Causes
La cause la plus courante est une boucle (circuit) ethernet dans la connexion avec des commutateurs rĂ©seau (c'est-Ă -dire plusieurs chemins existent entre les postes). Comme les trames de diffusion sont transmises sur tous les ports, les commutateurs suivants vont retransmettre les trames dĂ©jĂ reçues, et donc saturer le rĂ©seau. Comme la couche niveau 2 sur les entĂȘtes ethernet ne contient pas de TTL (durĂ©e de vie limitĂ©e), les trames vont transiter indĂ©finiment.
En vous rĂ©fĂ©rant Ă la figure, nous pouvons rĂ©sumer, avec les points suivants, une tempĂȘte de diffusion due Ă une boucle de pont (ou boucle de commutation) :
- L'hÎte envoie un message de diffusion sur le réseau ;
- Le premier commutateur analyse le paquet reçu et le transfÚre au bas du réseau ;
- Le second commutateur reçoit la copie du paquet et fonctionne en conséquence en tant que premier commutateur, en le transférant au sommet du réseau ;
- Ătant donnĂ© que le paquet est diffusĂ©, les commutateurs le rĂ©pĂštent toujours sur tous les ports, Ă lâexception du port dâorigine. Le cycle est donc destinĂ© Ă se poursuivre indĂ©finiment.
Pour pallier le risque de boucles, on peut mettre en Ćuvre des protocoles tels que le Shortest Path Bridging (« le pont de chemin le plus court ») ou le Spanning Tree Protocol (« protocole de l'arbre de recouvrement »).
Dans certains cas, une tempĂȘte de diffusion peut avoir Ă©tĂ© volontairement provoquĂ©e dans le but de crĂ©er un dĂ©ni de service (DoS). Ceci peut ĂȘtre accentuĂ© en utilisant des techniques telles que l'attaque par rebond qui consiste Ă envoyer un trĂšs grand nombre de requĂȘtes ICMP Echo (ping) vers une adresse de diffusion, avec chacune des trames ayant Ă©tĂ© trafiquĂ©e pour avoir comme source l'adresse de la victime. Quand ces trames trafiquĂ©es arrivent sur le rĂ©seau final, tous les postes sur ce rĂ©seau vont rĂ©pondre Ă l'adresse trafiquĂ©e (de la victime). La trame initiale (Echo Request) est multipliĂ©e par le nombre de postes sur le rĂ©seau. La quantitĂ© de rĂ©ponses gĂ©nĂ©rĂ©es en direction de la victime sature le rĂ©seau et utilise les ressources processeur de la victime, et parfois provoque un plantage de la machine.
Dans le cas de réseaux sans fil, un paquet de désassociation trafiqué avec l'adresse du point d'accÚs envoyé à l'adresse de diffusion peut aussi générer une attaque par déni de service.
Prévention
- Les boucles de commutateurs peuvent ĂȘtre prĂ©venues avec les protocoles Shortest Path Bridging (SPB) ou le Spanning Tree Protocol (STP).
- On peut aussi filtrer les diffusions au niveau 3, typiquement avec des routeurs (ou des commutateurs supportant le filtrage au niveau 3).
- Segmenter le réseau en utilisant des routeurs (ou en déployant des VLAN - Virtual Local Area Network).
- Certains routeurs et pare-feu ont une fonction pour détecter ces attaques.
- Certains commutateurs ont une fonction permettant de couper tout le trafic de type diffusion dans le cas oĂč il dĂ©tecte une bande passante anormalement Ă©levĂ©e.
Erreurs d'interprétation
Une des erreurs les plus courantes consiste Ă mĂ©langer les notions de boucles de routage et les tempĂȘtes de diffusion. Fonctionnant au niveau 3, les routeurs ne transmettent pas les diffusions de trames du niveau MAC (Media Access Control de niveau 2).
De maniÚre courante, on peut penser que seuls les routeurs peuvent filtrer le trafic et donc filtrer les diffusions de trames. Les commutateurs nouvelle génération le peuvent aussi, par l'intermédiaire de VLAN par exemple. Pour compliquer les choses encore un peu plus, certains matériels vendus comme des commutateurs ont des fonctionnalités de routage et les utilisent automatiquement s'ils ont des interfaces sur différents réseaux locaux ou VLAN.
Références
- (en) Cet article est partiellement ou en totalitĂ© issu de lâarticle de WikipĂ©dia en anglais intitulĂ© « Broadcast radiation » (voir la liste des auteurs).
- (it) Cet article est partiellement ou en totalitĂ© issu de lâarticle de WikipĂ©dia en italien intitulĂ© « Broadcast storm » (voir la liste des auteurs).