• [^] # Re: Un rapport avec la sortie imminente de Windows XP ?

    Posté par . En réponse à la dépêche Le futur sur les dénis de service. Évalué à 9.

    Si les IPs sont souvent spoofées dans une attaque de type DoS, ce n'est pas seulement pour ne pas se faire repérer, ni pour éviter de se faire black-lister. C'est aussi parce que les attaques DoS sont en général basée sur le principe du SYN-flooding : c'est bien parce que l'IP est spoofée que personne ne reçoit jamais le SYN-ACK, et que la connexion reste pendante sur la machine attaquée. Si au contraire une machine physique recevait ce SYN-ACK, elle retrounerait un RST qui fermerait la connexion chez le serveur cible... Ce qui est précisément le contraire de l'effet recherché.

    Ca c'est pour le principe de base. Maintenant certaines attaques DoS un peu plus évoluées (cf. les attaques de type "Naptha", très bien décrites d'ailleurs sur le site du CERT) nécessitent justement que l'on (ou mieux un collègue) reçoive le fameux SYN-ACK, pour répondre à notre convenance et laisser la connexion serveur dans un état arbitraire (LISTEN ou LAST-ACK en général). Dans ce cas, le spoofing d'IP sert justement à ce que la SYN-ACK du serveur soit routée jusqu'à la machine du copain. Ici l'attaquant doit donc spoofer une IP du domaine de son "complice".