Bonjour,
J'apporte juste quelques précisions à propos du protocole NTP (et ses détournements possibles).
Ce protocole fonctionne :
-en mode "non-connecté" (comme DNS), ce qui veut dire que la communication se fait sans "poignée de main", on a directement requête/réponse (pas de poignée de mains)
-en récursif (aussi comme DNS), cela veut dire que, si nécessaire, un serveur interroge un serveur et ainsi de suite jusqu'aux serveurs "racines" (on parle en fait de strat 0 pour le NTP)
Le problème avec les protocoles en mode non-connecté c'est qu'en l'absence de poignée de mains, je peux forger une requête avec une fausse adresse IP source et que c'est donc cette fausse adresse IP qui va recevoir la réponse à ma requête. Imaginez que j'utilise ceci avec des protocoles où la réponse est plus lourde que la requête, je pourrais submerger une adresse IP de réponse à des requêtes qu'elle n'a pas sollicitées.
Ceci est un exemple d'attaque de type déni de service.
Pour éviter cela, les opérateurs ont pour "devoir" de détecter les paquets dont l'adresse IP source ne correspond pas à leurs clients. Il est aussi possible de configurer, sur vos serveurs, une limite de requêtes à la seconde.
Je tiens à signaler que la description de cette attaque n'a qu'un but d'information. Je n'encourage en aucun cas cette pratique.
