Institut de la Francophonie
pour l’Informatique

Institut Eurécom
Sophia Antipolis

Mémoire de fin d’études

Etude et validation de l'application du
paradigme des pots de miel aux attaques
visant les protocoles de routage

Réalisé par
LA Chi Anh
(Promotion 10 – IFI)
Sous la direction de
Marc DACIER
Guillaume URVOY-KELLER
(Institut Eurécom)

Sophia Antipolis, Septembre 2006


Table des matières
Table des matières......................................................................................................2
Liste des figures......................................................................................................... 5
Liste des tableaux.......................................................................................................6
Remerciements...........................................................................................................7
Résumé.......................................................................................................................8
CHAPITRE 1 – INTRODUCTION...........................................................................10
1. Problématique............................................................................................................................. 10

2. Motivation....................................................................................................................................11
3. Méthode de travail.....................................................................................................................12
4. Environnement de travail........................................................................................................ 12
5. Contribution.................................................................................................................................12
CHAPITRE 2 – ETAT DE L’ART............................................................................14
1. Les problèmes des protocoles de routage...........................................................................14
1.1. Authenticité et intégrité des échanges de routes................................................. 14
1.2. Délai de convergence et instabilité............................................................................ 14
1.3. Boucles de routage............................................................................................................. 15
1.4. Croissance de la table de routage................................................................................15
1.5. Mauvaises configurations............................................................................................... 15
2. Les attaques visant le routage................................................................................................ 16
2.1. Falsification d’annonces..................................................................................................16
2.1.1. Modification d’attributs de préférence de trafic.......................................................... 16
2.1.1.1. Désagrégation de préfixe.......................................................................... 16
2.1.1.2. Modification d’attributs de préférence .....................................................16
2.1.2. Insertion de fausses annonces...................................................................................... 17
2.1.2.1. Falsification d’origine d’un préfixe.......................................................... 17
2.1.2.2. Insertion de retraits................................................................................... 17
2.1.2.3. Insertion périodique d’annonces et de retraits.......................................... 17
2.1.2.4. Insertion de messages de notification ou messages mal formés............... 17

2.2. Rétention d’annonces........................................................................................................17
2.2.1. Création de boucles......................................................................................................18
2.2.2. Isolation d’un réseau.................................................................................................... 18

2


2.3. Inondation d’annonces..................................................................................................... 18

2.3.1. Empoisonnement de table de routage.......................................................................... 18
2.3.2. Épuisement de ressources de routeur...........................................................................18

2.4. Les attaques indirectes......................................................................................................18
2.4.1. Les attaques TCP – TCP SYN et TCP RESET............................................................18
2.4.2. Falsification de messages d’erreur ICMP.................................................................... 19
2.4.3. Les attaques ARP.........................................................................................................19

3. Détection d’attaques visant les protocoles de routage....................................................19
3.1. Détection basée sur la signature.................................................................................. 19
3.2. Détection basée sur les statistiques............................................................................ 20
3.3. Détection par l’apprentissage........................................................................................20
3.4. Détection par l’analyse en ondelettes....................................................................... 21
3.5. Détection basée sur la topologie..................................................................................21
3.6. Détection par la visualisation........................................................................................21
4. Les approches de renforcement de protocoles de routage.............................................22
4.1. Les règles de filtrage......................................................................................................... 22
4.2. Les approches de sécurité pour BGP........................................................................ 22
4.2.1. S-BGP (Secure BGP)...................................................................................................22
4.2.2. soBGP (Secure Origin BGP)....................................................................................... 23
4.2.3. psBGP (Pretty Secure BGP)........................................................................................ 23
4.2.4. pgBGP (Pretty Good BGP)..........................................................................................24
4.2.5. Mécanisme « Listen and Whisper ».............................................................................24
4.2.6. Autres méthodes d’authentification de BGP................................................................24

CHAPITRE 3 – LA FAISABILITE DES ATTAQUES VISANT LES PROTOCOLES
DE ROUTAGE.......................................................................................................... 25
1. Arbre des attaques de routage................................................................................................ 25
1.1. Attaques visant RIP............................................................................................................25
1.2. Attaques visant OSPF....................................................................................................... 26

1.3. Attaques visant BGP......................................................................................................... 28
2. Validation de la faisabilité des attaques de routage ....................................................... 30
2.1. La modification d’attributs de préférence...............................................................30
2.2. L’insertion de messages de routage........................................................................... 32
2.3. La rétention de messages de routage.........................................................................32
2.4. L’inondation de messages.............................................................................................. 33
2.5. Les attaques indirectes......................................................................................................34

3


CHAPITRE 4 – VALIDATION DE L'APPLICATION DU PARADIGME DES
POTS DE MIEL AUX ATTAQUES SUR LE ROUTAGE...................................... 35
1. Analyse de données d’attaques vers les pots de miel du projet Leurré.com.......... 35
1.1. L’architecture du système de pots de miel Leurré.com................................... 35
1.2. Les tentatives vers les ports et les protocoles de routage................................36
1.3. Les tentatives de reconnaître un routeur par traceroute/tracert ...................36
1.4. La détection de boucles par les messages ICMP type 11 code 0................36
2. Analyse de résultat du déploiement d’un « routeur de miel » au sein d’Eurécom.38
2.1. Modèle de déploiement du « routeur de miel » avec Netflow..................... 38
2.2. Les informations Netflow récupérées par le « routeur de miel»................. 38
3. Validation de l’approche de « routeur de miel » dans la détection d’attaques de
routage................................................................................................................................................39
Conclusion et perspectives.........................................................................................42
Références..................................................................................................................43
Termes et abréviations............................................................................................... 45

4



Liste des figures
Figure 3.1. Arbre des attaques visant RIP................................................................... 26
Figure 3.2. Arbre des attaques visant OSPF................................................................27
Figure 3.3. Le mécanisme RFD...................................................................................29
Figure 3.4. Arbre des attaques visant BGP................................................................. 30
Figure 3.5. L’utilisation de « AS padding » pour équilibrer le trafic..........................31
Figure 3.6. Le nombre de noeuds changés dans les routes observées sur PlanetLab..33
Figure 3.7. La distribution de la longueur des préfixes (Route-Views)...................... 34
Figure 4.1. L’architecture du système de pots de miel Leurré.com............................ 35
Figure 4.2. La tendance d’augmentation des paquets ICMP 11 vers Leurré.com...... 37
Figure 4.3. La distribution géographique des adresses IP de routeurs qui envoient
ICMP 11 à Leurré.com ...............................................................................................37
Figure 4.4. Le modèle de déploiement d’un routeur de miel Netflow........................ 38
Figure 4.5. Le modèle de déploiement d’un routeur de miel...................................... 40
Figure 4.6. Le système IDS de routage Netflow......................................................... 40

5


Liste des tableaux
Table 3.1. L’utilisation d’attributs de préférence dans un mois (Route-Views)......... 31
Table 3.2. La distribution de la longueur des AS paddings (Route-Views)................32
Table 4.1. Les tentatives de communication de routage vers Leurré.com.................. 36
Table 4.2. Les tentatives de traceroute/tracert vers Leurré.com..................................36
Table 4.3. Les tentatives d’attaque vers le routeur de miel......................................... 39
Table 4.4. La capacité de détecter des attaques de routage par « routeur de miel » et
IDS Netflow................................................................................................................ 41

6



Remerciements

Je remercie M. Marc Dacier et M. Guillaume Urvoy-Keller, professeurs de l’Eurecom
pour leur direction sur un sujet de recherche très intéressant. Je tiens à exprimer ma
reconnaissance pour leurs conseils et encouragements qui ont facilité mon travail.
Je tiens à remercier M. Ho Tuong-Vinh et toutes les personnes de l’IFI et de
l’Eurécom de m’avoir aidé au cours de mon stage.
Je voudrais également remercier ma mère et les membres de ma famille qui m’ont
supporté et encouragé énormément pendant mes séjours en France.
Enfin, je remercie M. Guillaume Urvoy-Keller qui m'a aidé à corriger des erreurs de
raisonnement et des fautes orthographes dans ce rapport.

7


Résumé
Depuis longtemps, l’infrastructure de routage sur l’Internet a été considérée très
vulnérable à plusieurs types d’attaque. L’attaque contre des protocoles de routage,
surtout le protocole de routage « inter-domaine » BGP, peux affecter globalement la
connectivité de réseau et causer de grands dommages à l’économie. En attaquant des
routeurs BGP, les criminels de réseau arriveront à causer le déni d’accès
(blackholing), la déconnexion, la redirection de trafic, la modification de données et
l’instabilité de communication.
Ce rapport mentionne les types d’attaque sur l’infrastructure de routage et valide leur
faisabilité, ensuite donne une évaluation sur l’approche de « pots de miel » pour les
détecter.
Ce rapport se compose de 4 chapitres. D’abord le premier chapitre présente une
introduction sur le problème de sécurité dans le routage. Le deuxième chapitre va
aborder les problèmes de routage, les types d’attaque, les techniques de détection et

les approches de sécurité récemment proposées. Le troisième chapitre est une analyse
détaillée sur les vulnérabilités de l’infrastructure de routage et les possibilités
d’attaque accompagnées par leur menace en réalité. Le quatrième chapitre valide les
enjeux d’une approche de pots de miel « honeyrouter » pour détecter les attaques
mentionnées.
Mots clés : sécurité de routage, attaque BGP, pots de miel, système de détection
d'intrusions

8


Abstract
Internet routing infrastructure has been considered strictly vulnerable to several types
of attacks. Routing attacks, especially against the interdomain routing protocol like
BGP, can globally affect network connectivity and cause great damage to economic
activities. While attacking BGP routers, the criminals have the possibility to cause
blackholing, loss of connectivity, instability, traffic redirection or even data
modification.
This report mentions routing infrastructure attacks and validates their feasibility, then
gives an evaluation on the honeypot approach to detect them. This report is composed
of 4 chapters. The first chapter presents an introduction to the security problem in
routing. The second chapter outlines routing issues, attack possibilities, anomalies
detection and current security approaches. The third chapter describes in detail the
routing infrastructure vulnerabilities and the possibilities of attack accompanied by
their threats in reality. The fourth chapter considers and validates the stakes of a
honeypot approach (honeyrouter) to detect routing attacks.
Keywords: routing security, BGP attack, honeypot, IDS

9



Chapitre 1

Introduction

1. Problématique
De nos jours, l'Internet joue un rôle de plus en plus important dans tous les
secteurs économiques. Les transactions entre les entreprises dépendent la plupart de
ce moyen de communication. Ainsi la taille de ce réseau s'agrandit de façon que
protéger sa connectivité et sa confidentialité devient une tâche difficile et compliquée.
L'infrastructure de routage contient plusieurs vulnérabilités comme les architectes
de l'Internet n'ont pas prévu la croissance rapide de ce réseau global.
Afin de déterminer dynamiquement le chemin pour un paquet, les routeurs
communiquent les uns avec les autres des informations sur le routage. Mais il est
possible que pour faciliter la flexibilité ou pour simplifier le travail, il n'existe pas par
la nature des mécanismes efficaces pour vérifier l'authenticité et la validité de ces
informations. Un routeur sur l'Internet a donc tout le droit de diffuser des fausses
annonces qui sont capables de interrompre la connexion, rediriger le trafic ou causer
l'instabilité permanent dans le réseau. Les attaques visant les routeurs, peu importe
pour gagner le contrôle d'un routeur ou intervenir directement le protocole de routage,
représentent une grave menace en réalité.
Les protocoles de routage se classifie en 2 types selon la taille du réseau qu'ils
desservent: intra-domaine (RIP, OSPF...) et inter-domaine (BGP Border Gateway
Protocol). BGP est un protocole de facto basant sur le vecteur de chemin (path vector
based protocol) très utilisé depuis la dernière décennie. Il assure la communication
des routes entre les systèmes autonomes AS (par exemple des fournisseurs de service
d'Internet ISP). Son fonctionnement est basée sur la confiance entre les ISP donc il
n'assure pas la validité des annonces de routage entre les routeurs. Un fois de gagner
le contrôle d'un routeur BGP, l'attaquant peut exploiter BGP en annonçant les
itinéraires faux afin de rediriger le trafic à une destination incorrecte. L'attaque visant

le protocole BGP peut affecter globalement des machines sur l'Internet.
Bien qu'il n'y ait pas encore d'attaque contre BGP qui a été publiquement
documentée jusqu'a maintenant, on a reconnu des mauvaises configurations de BGP
qui ont posé les mêmes problèmes d'une telle attaque: Le 25 avril 1997 le système
autonome (AS) numéro 7007 a diffusé les annonces incorrectes indiquant qu'il a eu le
meilleur chemin à plusieurs destinations. Le 7 avril 1998, AS 8584 a annoncé environ
10.000 préfixes (les adresses de réseau) qu'il n'a pas possédés. Le 6 avril 2001 AS
15412 a répété la même erreur en annonçant environ 5.000 préfixes qu'il n'a pas
possédés. La connectivité de plusieurs réseaux sur l'Internet a été interrompue pendant
plusieurs heures à cause de ces incidents [1]. La panne du moteur de recherche
Google le 7 mai 2005 ont été suspectée d'être causée par les fausses annonces BGP de
AS 174 [2].

10


La convergence est encore un autre problème de BGP. Normalement, les
protocoles de routage ont besoin un délai temporel entre le changement de route et la
mise à jour de façon consistante de ce changement dans la table de routage de chaque
routeur. Comme BGP est extrêmement bavard - les changements mineurs de
connectivité produisent des centaines de messages de BGP et la perte d'une connexion
importante peut en produire des millions. Avec la croissance de la taille du réseau,
une récente étude a prouvé que ce délai augmente linéairement avec le nombre d'AS
dans le meilleur cas, et exponentiellement dans le pire [3]. De ce fait, les attaquants
ont la chance d'allonger le temps de convergence en lançant des faux changements de
route pour causer l'instabilité dans le réseau. De plus, comme le protocole BGP
fonctionne sur TCP, une erreur sur la connexion TCP entre 2 routeurs peut forcer le
routeur de retirer plusieurs routes, ce qui permet les attaquants de causer l'instabilité
par une attaque indirecte via TCP ou ICMP.
Plusieurs solutions pour améliorer les protocoles de routage ont été proposées.

L'approche S-BGP (secure BGP) s'adresse à la plupart des vulnérabilités de sécurité
en employant une combinaison d'IPsec, d'un nouvel attribut du chemin (AS PATH)
contenant des « attestations » et une infrastructure de clé publique (PKI) [4]. Cette
approche en effet exige trop de changement dans l'infrastructure pour être appliquée
en réalité. Le soBGP (secure origin BGP) est une alternative à S-BGP, proposée par
des chercheurs à Cisco Systems qui veulent valider des certificats pour assurer
l'authenticité et l'autorisation d'annoncer une préfixe [5]. Le psBGP (pretty secure
BGP) fournit un modèle d'authentification centralisé pour valider le numéro AS et un
modèle d'authentification décentralisé pour vérifier la propriété d’origine de préfixe
[6]. Le pgBGP (pretty good BGP) suggère de réserver du temps aux administrateurs
pour choisir avec précaution des routes indiquant un AS original n'ont pas été vu
récemment (pour une période définie) [7]. Les règles de filtrage, la validation de route
basée sur une base de données ou une graphe de connectivité... ont été également
proposées. Pourtant ces propositions sont encore dans la période de considération.
Certaines solutions ne résolvent que partiellement le problème abordé.
Les vulnérabilités des protocoles de routage ont été déterminée théoriquement en
examinant les possibilités d'abus et les résultats de simulation. Une validation pour
reconnaître ce qui sont les menaces réelles est très nécessaire à ce moment. La
détection des attaques visant l'infrastructure de routage est encore un nouveau sujet
pour le domaine de sécurité. Plusieurs recherches ont été effectuées mais le défi posé
par l'immensité des messages BGP est un grand problème pour la détection en temps
réel. La complexité de topologie de l'Internet provoque aussi la difficulté d'observer
des attaquants. Dans le cadre de mon stage à l'Institut Eurécom, j'essaie d'étudier les
travaux de recherche reliés, vérifier les menaces d'attaque en réalité et valider
l'application du paradigme des pots de miel à la détection des attaques sur le routage
2. Motivation
La validation de l'arbre des attaques visant les protocoles de routage et la détection
d'attaques contre les routeurs sont des sujets de pointe dans le domaine de sécurité de
réseau. La variété des attaques, le besoin de protection du réseau... sont des grandes
motivations pour qu'on puisse s'engager dans la recherche. En étudiant le sujet, on a

une opportunité de maîtriser les protocoles de routage, communiquer avec les experts
11


pour avoir les connaissances les plus récentes dans le monde de sécurité, et découvrir
les secrets professionnels cachés par la règle de "sécurité par l'obscurité". De plus, en
travaillant dans une équipe de recherche on bénéficie d'une formation aux méthodes
de travail et hérite des expériences des responsables de stage et d'autres collèges.
3. Méthode de travail
Afin d'accomplir le travail donné, j'essaie de maîtriser les principes des protocoles
de routage, puis rechercher sur des travaux antérieurs pour construire une arbre des
possibilités d'attaque. Le travail suivant est de chercher dans le trafic de réseau des
preuves pour confirmer les risques en réalité et éliminer les menaces irréalistes. A
partir du modèle d'attaque obtenu, on peut valider les techniques de détection
possibles pour les prévenir.
4. Environnement de travail
Ce stage s'effectue à l'Institut Eurécom, Sophia Antipolis, France. Le Parc
scientifique de Sophia Antipolis se fait reconnu aujourd'hui comme un des plus
grands centres de recherche dans les domaines de hautes technologies. L'Institut
Eurécom est une Grande Ecole internationale d'Ingénieurs et un centre de recherche
des Systèmes de communication.
Ce travail est réalisé sous la direction de M. Marc DACIER et M. Guillaume
URVOY-KELLER à l'unité Communications d'Entreprise. La recherche du
département des Communications d'Entreprise s'articule autour de deux domaines :
●
●

Les protocoles et les services spécifiques aux applications Internet
La sécurité pour les réseaux informatiques et systèmes distribués


Depuis 2003 l'Institut Eurécom a lancé le projet Leurré.com. Le but du projet est
de rechercher profondément des attaques sur l'Internet. Depuis sa naissance, le projet
a attiré beaucoup d'intérêts de la communauté de sécurité. Le réseau de 51
plateformes de pots de miel distribués dans une vingtaine de pays du projet permet de
collecter globalement les données des attaques sur l'Internet. Cette base de données et
les expériences de l'équipe de recherche facilitent certainement le travail de mon
stage.
5. Contribution
J'ai effectué mon stage de recherche à l'Institut Eurécom pendant 6 mois. Les
tâches prévues suivant ont été accomplies:
Sur le plan théorique, j'ai approfondi le protocole BGP, l'arbre des attaques contre
l'infrastructure de routage. J'ai construit une bibliographie complète sur les
recherches concernant mon sujet à l'aide d'un Wiki partagé entre les membres du
groupe de travail. Les recherches reliées sont classifiées en 4 axes: les problèmes, les
attaques, les techniques de détection et les solutions de sécurité proposées pour les
12


protocoles de routage. J'ai fait des analyses sur les données pour observer les
anomalies ou les signes d'une possible attaque. Les sources de données utilisées sont:
● La base de donnée du projet Leurré.com à Eurécom [40].
● Le Netflow collecté depuis un "routeur de miel" déployé depuis l'année
dernière à Eurécom
● Les traces tcpdump [43] des projets de recherches sur le réseau: MAWI [30],
NLANR [31]...
● Les données du projet Telescope [41]
● Les données de routage BGP du projet Route-Views [33]
Sur le plan pratique, j'ai appris la méthode de déploiement d'un "routeur de miel"
utilisant le Netflow. J'ai implémenté des scripts pour récupérer et/ou extraire les
données puis générer des rapports d'analyse.

J'ai fait une analyse sur la fréquence de changement des routes par le traceroute
depuis une vingtaine de machines du projet PlanetLab [32] dont l'Eurécom est un
partenaire. J'ai construit aussi une base d'adresses IP des routeurs grâce aux machines
PlanetLab et une base de préfixes IP collectés par les données de Route-Views pour
faciliter les travaux de recherche postérieurs.

13


Chapitre 2

Etat de l’art
1. Les problèmes des protocoles de routage
1.1. Authenticité et intégrité des échanges de routes
Le protocole de routage BGP, qui fonctionne sur TCP, manquent dans sa propre
architecture un mécanisme sécurisé pour vérifier l'authenticité et la légitimité des
échanges de routage. Il est fortement vulnérable à une variété des types d'attaque. Les
experts dans ce domaine recommandent d'utiliser le mécanisme d'authentification
MD5 de TCP sur les liens de communication entre les routeurs [8].
Cependant, l'authentification MD5 ne fournit pas le chiffrage des données de
routage. Au lieu de cela, elle vérifie justement les parties d'envoi et de réception. La
solution complète pour ce problème, le S-BGP avec une infrastructure PKI, n'est pas
encore adoptée à cause de l’incompatibilité avec les protocoles courantes.
Le même problème existe dans le protocole RIP (version 2) qui utilise MD5 dans
ses paquets UDP et dans le protocole OSPF qui utilise MD5 dans sa connexion sur IP.
Un autre problème des protocoles de routage est l'intégrité et la fiabilité des
données. L'information qui est reçue d'un routeur partenaire est simplement crue d'être
correcte. Et le routeur est obligé de republier cette information aux autres routeurs
sans aucune vérification. Si un routeur indique qu'elle a l'accès à un réseau particulier,
les autres croient simplement que l'information est correcte et recalculent leurs

chemins à ce réseau. Et si un attaquant arrive à injecter un chemin qui est meilleur
dans le calcul des routeurs, il gagne certainement le droit de contrôler le trafic de
réseau. L'attaquant a aussi la possibilité de capturer des messages de routage, les
modifier et les republier.
1.2. Délai de convergence et instabilité
Les mesures expérimentales prouvent que les routeurs d'inter-domaine peuvent
prendre des dizaines de minutes pour atteindre une vue cohérente de la topologie de
réseau après un changement [3]. Pendant ce délai de convergence, on expérimente
l'instabilité de reseau, la perte de paquets, la latence et même les boucles temporaires
dans le cheminement [9]. Le temps de convergence pour les protocoles de routage
intra-domaine est plus court mais il dépends fortement de la taille et le topologie du
réseau.
Des simulations sur BGP montrent que les retraits (withdrawal) de chemin
prennent plus de temps que les annonces (update) pour atteindre à une mise-à-jour
consistante. Une étude sur la convergence de Craig Labovitz et al. montre que ce délai
augmente linéairement avec le nombre d'AS dans le meilleur cas, et

14


exponentiellement dans le pire [3]. Ainsi la convergence de routage devient un
problème critique avec le développement rapide de l'Internet.
1.3. Boucles de routage
En théorie, les protocoles de routage ont des mécanismes pour assurer le
cheminement sans boucles. Mais les mesures donnent des évidences que les boucles
existent parfois dans le transfert de paquets inter-domaine. La cause exacte de cet
effet est peu claire. On crois que le délai de propagation des messages de routage
cause des moments où il y a des contradictions de routage entre les routeurs.
L'inconsistance de routage forme des boucles temporaires pendant la convergence. D.
Pei et al. prouvent que la durée des boucles de routage BGP correspond étroitement

au temps de convergence et dépend linéairement de la valeur MRAI (intervalle
minimum entre deux publicités de route) du BGP [10]. A. Sridharan et al. trouvent
une corrélation forte entre les boucles et le changement de routage inter-domaine [9].

1.4. Croissance de la table de routage
Malgré que CIDR (Classless Inter-Domain Routing) fournisse un mécanisme
d'agréger des préfixes (adresses de réseau) en une préfixe plus courte (par exemple on
peut agréger 192.168.0.0/24 et 192.168.1.0/24 en 192.168.0.0/23) de façon qu'on
puisse réduire la taille de la table de routage, le nombre des préfixes annoncés sur
l'Internet augmente si rapidement que la table de routage peut être surchargé. Ce
problème peut exagérer le temps de traitement dans les routeurs, causer l'instabilité,
rejeter les nouveaux chemins, interrompre les sessions d'échanges de route, ou
redémarrer le routeur [11]
1.5. Mauvaises configurations
On croit certainement que les erreurs de configuration de routage perturbent ou
interrompent la connectivité d'Internet. Une étude sur une période de trois semaines
des annonces de routage sur 23 points du réseau Internet indique que les erreurs de
configuration sont nombreuses, elles influencent 200-1200 préfixes (0,2-1% de la
taille de la table de routage BGP) [12]. Heureusement, la connectivité des utilisateurs
est étonnamment robuste aux mauvaises configurations grâce à la redondance des
liens du système de réseau. Cependant, des mauvaises configurations majeures sur le
réseau dorsale ne sont pas négligeables en raison de leur influence sur le trafic
d'Internet. La mauvaise configuration qui annonce les préfixes plus longs que le
préfixe original est effectivement dangereuses car elle permet les attaquants de causer
à la fois le déni d’accès (blackholing) dans un réseau et le déni de service (DoS) dans
un autre réseau.

15



2. Les attaques visant le routage
2.1. Falsification d’annonces
Pour le protocole BGP, la falsification d'annonces depuis une machine quel conte
sur le réseau est considérée difficile à faire car l’intervention à la connexion TCP d’un
pair de routeurs exige de deviner correctement une combinaison de 3 attributs: le port
de source, le port de destination, le numéro de séquence. Cette tâche est difficile pour
BGP car l’attaquant n’a pas le moyen de renifler (normalement sur le lien dorsale
entre un pair de routeurs, il n’y a pas d’autres machines). Et même si l’attaquant peut
injecter avec succès une annonce de routage, le temps pour que ce pair de routeurs
rétablissent leur connexion (après le délai de « ACK storm » ) et retransmettent les
vraies informations de routage est court.
Pourtant, quand un attaquant arrive à gagner le droit d’administration d’un
routeur, ce sera un problème. Il a toute possibilité de injecter des fausses routes car les
protocoles de routage ne sont pas muni d’un mécanisme de les vérifier.
La falsification de messages de routage RIP et OSPF est beaucoup plus faisable.
Elle demande de fournir la clé secrète MD5, qui peut être découvert par capturer et
craquer les paquets.
2.1.1. Modification d’attributs de préférence de trafic
2.1.1.1. Désagrégation de préfixe
Les protocoles de routage préfèrent la route avec le préfixe le plus long, ce qui
exprime que cette route est la plus précise [1]. Les attaquants peut exploiter ce
discipline en annonçant les préfixes plus longs que ceux annoncés par la victime qui
les possède. Ainsi ils peuvent rediriger le trafic vers une autre destination. C’était le
cas de la mauvaise configuration de l’AS 7007 en 1997 qui a déconnecté globalement
l’Internet.
2.1.1.2. Modification d’attributs de préférence
Les attributs de préférence sont AS_PATH (séquence de numéro AS qu’il faut
passer pour parvenir à un réseau), MED, COMMUNITY... (protocole BGP),
METRIC (protocole RIP). Pour assurer la politique de trafic d’un AS, améliorer la
qualité de service, réduire le coût d’affaires... les administrateurs configurent ces

attributs pour rediriger le trafic vers les liens préférés [13]. En compromettant un
routeur, l’attaquant est supposé d’être capable de modifier les attributs de préférence
de la route annoncée avant de la republier aux routeurs partenaires afin de perturber le
trafic.

16


2.1.2. Insertion de fausses annonces
2.1.2.1. Falsification d’origine d’un préfixe
En compromettant un routeur, l’attaquant peut le reconfigurer pour que ce routeur
annonce l’origine des préfixes appartenant à une victime. Le trafic destiné au réseau
de la victime est attiré vers l’AS de ce routeur ou à n’import quel réseau selon la
configuration de l’attaquant [1]. Un telle attaque arrive à causer le déni de service
d’un réseau, le déni d’accès d’un autre réseau et favoriser le reniflement si le trafic est
redirigé à un réseau contrôlé par l’attaquant. Une falsification de l’origine sur
plusieurs préfixes causera la perte de connectivité de l’Internet
2.1.2.2. Insertion de retraits
L’insertion de faux retraits d’une route forcent les autres routeurs de recalculer le
chemin vers le préfixe annoncé par cette route. Si les autres routeurs ne trouvent plus
un chemin valide vers ce préfixe, ce réseau est donc isolé du réseau global
2.1.2.3. Insertion périodique d’annonces et de retraits
Une fois que un routeur reçoit une annonce ou un retrait de route, il doit recalculer
les chemins et republier ce changement à ses partenaires. Ce tâche consume du temps
et des ressources du routeur et perturbe le trafic du réseau. L’insertion périodique des
annonces de routage sont visée à provoquer l’instabilité permanente sur le réseau.
Pour atténuer ce mauvais effet, BGP propose le mécanisme RFD (atténuation de
l’oscillation de route). Ce mécanisme incrémente la valeur de pénalité pour une route
chaque fois qu’elle est changée. Si cette valeur dépasse le seuil de coupure, la route
n’est plus comptée dans une période de temps jusqu’au moment où cette valeur se

diminue au seuil de réutilisation. Ce mécanisme pourtant n’empêche pas un attaquant
de causer l’instabilité. Par contre, il peut aussi causer l’isolation permanente d’un
réseau en calculant précisément le moment à injecter les fausses annonces [14].
2.1.2.4. Insertion de messages de notification ou messages mal formés
L’implémentation des protocoles de routage oblige le calcul des chemins chaque
fois on rencontre une erreur ou une remise de connexion. Les messages OPEN et
NOTIFICATION de BGP peut être abusés pour forcer le calcul et causer l’instabilité
du réseau. Des messages mal formés sont injectés intentionnellement en espérant que
le routeur peut perdre de temps à les traiter ou dans le pire cas, il peut se casser à
cause d’une bogue d’implémentation [11].

2.2. Rétention d’annonces
Normalement, un routeur reçoit des annonces de route, fait des calculs pour
obtenir la meilleure route et republie cette route. Mais si ce routeur est compromis,

17


L'attaquant peut le reconfigurer pour qu’il fonctionne différemment que le protocole
l’oblige. Un routeur qui ne tient pas compte des annonces et qui ne republie pas ces
routes causera des boucles et des isolations sur le réseau [15].
2.2.1. Création de boucles
Si un routeur R ne fait rien quand une annonce de route arrive, il risque de
conserver une ancienne route qui contient un noeud (un autre routeur) R’. Mais dans
le même moment, le noeud R’ reçoit une route qui contient R dans son itinéraire, R et
R’ forment un boucle [15].
2.2.2. Isolation de réseau
Si un routeur ne republie pas les retraits de route, les routeurs partenaires continue
à transférer le trafic vers lui. La destination de ce trafic est inaccessible et devient
isolée. La même chose aura lieu quand un routeur ne republie les annonces de route

[15].
2.3. Inondation d’annonces
L’attaquant peut compromettre un routeur et l’utiliser pour attaquer ses partenaires
en envoyant plusieurs annonces de route.
2.3.1. Empoisonnement de table de routage
Au cas où la table de routage est rempli à sa limite, le routeur rejetera le nouveau
route ou écrasera les routes actuelles [11]. Ce fait perturbera l’activité normale du
réseau. Les attaquants envoient des annonces avec les préfixes longs (/24) pour
remplir la table de routage et causer les anomalies de trafic.
2.3.2. Épuisement de ressources de routeur
Les attaquants peuvent envoyer plusieurs messages de route pour épuiser les
ressources d’un routeur car le temps pour traiter une annonce est beaucoup plus long
que celui pour envoyer une annonce.
2.4. Les attaques indirectes
Le BGP fonctionne sur la connexion TCP, le RIP fonctionne sur la connexion
UDP... Celui-ci permet des exploitations indirectes via les protocoles sous-jacents.
2.4.1. Les attaques TCP – TCP SYN et TCP RESET
Le BGP est vulnérable à des attaques TCP SYN. Si on ne pense pas à faire un
filtrage de paquets, un simple DoS distribué (DDoS) peut interrompre la
communication BGP.

18


Un paquet TCP RESET avec le numéro de séquence et de port valide peut aussi
couper la connexion BGP. Pour faire une attaque de type TCP RESET, l’attaquant
devra compromettre un routeur partenaire ou bien essayer des milliards de
combinaisons de numéro de séquence et des ports dans les paquets TCP. On a montré
que ce sera faisable avec la technique « Slipping in the window » qui n’envoie que
des milliers de paquets dans un très peu de temps pour trouver une combinaison

valide dans le cas où l’attaquant connaît le nom du système d’exploitation du routeur.
Le TCP RESET est possiblement exploité pour lancer une attaque contre le
mécanisme RFD de BGP [14].
2.4.2. Falsification de messages d’erreur ICMP
Les messages ICMP qui indiquent une erreur dure ( hard-error , ICMP type 3)
peuvent interrompre la connexion TCP. Le technique d’attaque est similaire à
l’attaque TCP RESET [16].
2.4.3. Les attaques ARP
Les messages ARP sont utilisés pour traduire l’adresse IP en adresse MAC. L’
attaquant peut facilement empoisonner la tableau d'ARP d’un routeur par les adresses
MAC fausses pour terminer la session d’un pair routeur et éventuellement les forcer
de rétablir la session avec un routeur attaquant [11]. Cependant ce type d’attaque est
facile à détecter car il interrompe le trafic de contrôle de routage aussi que le trafic de
données.
3. Détection d’attaques visant les protocoles de routage
La détection d'attaques visant les protocoles de routage ou la détection
d'anomalies dans les routeurs est un sujet très focalisé dans le monde de sécurité, à
cause de l'importance de l'infrastructure de routage. Cependant comme aucune attaque
de routage n’est publiquement documentée, les techniques de détection sont testées
souvent sur un environnement de simulation. L’énormité des annonces de routage
cause aussi un problème à la détection en temps réel. La validation des techniques de
détection est effectuée souvent sur les données Route-Views ou RIPE RCC dans les
jours où il existait des anomalies du trafic causées par des vers (par exemple
l’événement du ver Slammer au janvier 2003 [17]), au lieu d’une attaque de routage
réelle
3.1. Détection basée sur la signature
Cette technique est proposée par F. Wu et al [18]. Basé sur la valeur des attributs
de préférence de deux chemins consécutivement annoncés, on définit 4 types
d’annonces:
● UP: si le deuxième chemin est plus préférable que le précédent, on l’appelle

un UP (U)
● DOWN: si le deuxième chemin est moins préférable que le précédent, on
l’appelle un DOWN (D).
19


● PLAT : si deux chemins ont la même préférence, on l’appelle un PLAT (P).
● WD : si la deuxième annonce est un retrait de chemin, on l’appelle un WD
(W)
Alors, étant donné une séquence des annonces, on la libelle par une suite des U,
D, P, W. Puis on la compare avec les signatures:
Type
A
B
C
D
E
F

Signature
Une séquence des annonces
terminée par WD
Une séquence des annonces avec
WD au milieu
Une séquence des annonces avec
seulement une fluctuation de
préférence
Une séquence des annonces avec
la préférence croissante ou
décroissante monotone

Une séquence des annonces avec
plus de 2 fluctuations de
préférence
Une séquence des annonces avec
la même préférence

Exemple
{D,D,F,D,W},{U,F,F,D,W},{U,D,U,D,W},
{D,W,D,U,W}
{D,D,W,U,U},{D,W,U,W,U}
{U,U,D,D,F},{D,D,U,F,U},{D,D,U,U,D}

Indication
Délai de convergence à cause d’une panne
sur le lien/routeur
Panne temporaire avec une rétablissement
immédiate
Panne temporaire avec une rétablissement
immédiate ou un changement de route

{U,U,U,U,U},{D,D,D,D,D},{U,F,F,U,F},
{D,F,D,F,F}

Délai de convergence normal

{U,D,U,D,U},{D,U,D,U,D},{D,U,U,D,U}

Oscillation de route

{F,F,F,F,F}


Changement de route avec des attributs de
préférence équivalente

3.2. Détection basée sur les statistiques
F. Wu et al. proposent l'algorithme NIDES/STAT [18] qui surveille le
comportement du système, et donne l'alarme quand le comportement (à court terme)
dévie de manière significative de son comportement prévu, qui est décrit par son
profil à long terme. On mesure donc cinq valeurs : la fréquence d'arrivée des annonces
de routage, le nombre des routes dans une période (mesure d'intensité), le type
d’annonce, la fréquence d'occurrence de route (mesure catégorique), la différence des
routes (mesure quantitative). Le détecteur d'anomalie produit alors d'une valeur
commune pour la combinaison de cinq mesures. Les grandes valeurs indiquent le
comportement anormal, et les valeurs près de zéro sont les signes du comportement
normal.

3.3. Détection par l’apprentissage
J. Zhang et al. présentent un système de détection par apprentissage [19]. En
employant un vecteur quantitatif pour représenter des messages BGP, ce système peut
capturer des caractéristiques plus complexes des annonces BGP que les méthodes
précédentes qui emploient l'agrégation simple. Ce vecteur est construit en utilisant des
transformations en ondelettes. Ainsi on peut éviter d'employer la fenêtre de temps
pour l'agrégation. Cette fenêtre est difficile de déterminer.
Dans le traitement des signaux, les transformations en ondelettes représentent un
signal cru (une fonction de temps) par un signal (ou des coefficients) de tempsfréquence (une fonction de temps et de fréquence). En traitant une séquence des
messages BGP comme un signal (une fonction f(t) dont la valeur est le nombre des
20


messages au temps t), un éclat de messages peut être regardé comme signal à haute

fréquence modulé par un signal de basse fréquence. La transformation en ondelettes
peut indiquer ainsi les structures temporelles dans les messages BGP.
La technique clustering est choisie pour découvrir la distribution dans les données
qui est importante pour détecter des anomalies. Deux types de clustering sur les
vecteurs a été expérimentés. D'abord, on effectue le clustering pour chaque préfixe et
puis on applique le clustering à travers des préfixes d'un jour aléatoire.
On a effectué cette technique sur des données de Route-Views pendant six mois.
Les résultats prouvent que seulement quelques préfixes ont les comportements qui
sont tout à fait différents de la majorité. En particulier, on observe que ce sont des
préfixes instables avec les changements fréquents.
3.4. Détection par l’analyse en ondelettes
Les travaux courants sur la détection d'anomalie exigent le traitement complexe
sur des données de routage. Par conséquence, ces techniques sont limitées au
traitement hors-ligne (offline processing) qui a peu d’applicabilité. L. Yuan et al.
proposent un mécanisme de détection d'anomalie qui exige seulement un compte
simple de messages de routage sur une certaine période [20]. Ils étudient l’autosimilarité dans le trafic des annonces BGP et présentent une validation préliminaire. A
partir de ces résultats, ils ont conçu et implémenté un outil de détection d'anomalie
basé sur l'analyse en ondelettes du nombre total d'annonces BGP. Cet outil est
efficace en détectant les changements brusques. Cependant, cette méthode est limitée
aux anomalies avec un signal plus grand que des bruits. Puisque cette méthode ne
traite pas le contenu des messages de routage, on la considère légère et applicable à la
détection d'anomalie de BGP.
3.5. Détection basée sur la topologie
C. Kruegel et al. proposent un système qui est capable de détecter les messages de
routage attaquants par la surveillance passive de trafic BGP [21]. Cette approche
n'exige aucune modification de protocole. La technique se fonde sur un modèle de la
connectivité des AS pour vérifier que les annonces de route sont conformées à la
topologie de réseau. En identifiant les messages anormaux, on empêche des routeurs
d'accepter les itinéraires inadmissibles par rapport au graphe de connectivité construit
par les messages précédents. On évalue le système par les données de routage de

Route-Views et montre que ce système est capable de distinguer les annonces
légitimes et les annonces potentiellement malveillantes.
3.6. Détection par la visualisation
F. Wu et al. ont construit et examiné un logiciel qui visualisent des événements en
temps réel de BGP OASC (Origine AS change, changement d'origine des routes) afin
d'utiliser les possibilités cognitives humaines pour détecter les défauts et les attaques
sur BGP [22]. A partir des messages BGP, ce logiciel extrait et organise des aspects
21


particuliers des données, puis produit un ensemble des évènements de changement
OASC et les transforme en un ensemble d'entités de graphiques avec les propriétés
appropriées (par exemple couleurs et texture...) pour le visualiser sur l'écran.
4. Les approches de renforcement de protocoles de routage
Les protocoles de routage sont fortement vulnérables aux attaques. Heureusement,
comme les échanges de chemins se limitent entre les routeurs voisins, les
administrateurs de réseau peuvent empêcher efficacement les tentatives d'attaque par
les règles de filtrage. Mais le problème de sécurité existe toujours puisque la
falsification des données de routage est considérée faisable.
4.1. Les règles de filtrage
Les règles de filtrage sont utiles pour partiellement empêcher les attaques contre
les activités de routage. Des propositions de filtrage souvent connues sous le terme
« BCP » (Best Current Practices) sont obligées d’appliquer pour assurer le
fonctionnement normal :
● La recommandation de l’authentification MD5 entre les pairs de routeurs
● L’utilisation d’un loopback ou d’une adresse secondaire pour les échanges de
routage
● Pour les ISP, il faut autoriser les clients à annoncer seulement leurs propres
préfixes
● Limiter l’utilisation des routes par défaut

● Ne pas utiliser ARP pour les adresses des routeurs partenaires (fixer les
adresses MAC pour ces IP)
● Accepter seulement les messages de routage qui proviennent des adresses
partenaires
● Rejeter les préfixes >/28 et ● Filtrer les « bogons » (les adresses privées 10.X.X.X, 192.168.X.X,
172.16.X.X, 169.254.X.X...) et les adresses non assignées.
● Filtrer les numéros d'AS privés (de 64512 à 65535)
● Appliquer BGP TTLH ou BTSH (BGP TTL Security Hack) qui exige de
mettre la valeur TTL en maximum (255) et les routeurs n’accepteront que les
paquets de routage avec un TTL de 254 (puisque la distance entre 2 routeurs
partenaires est 1). Ce filtrage limite les tentatives vers un routeur de n’importe
quelle machine.
4.2. Les approches de sécurité pour BGP
Plusieurs approches sont proposées pour renforcer la sécurité de ce protocole, qui
est un des deux plus importants protocoles (avec DNS) qui constituent la connectivité
de l’Internet. Le SBGP s’adresse à presque tous les problèmes de BGP mais il est
difficile à déployer à cause du coût de changement.

22


4.2.1. SBGP (Secure BGP)
SBGP propose des contre-mesures qui s'adressent à tous les problèmes de BGP
[4]. On emploie l'IPsec, l'infrastructure de clé publique (PKI), et un nouvel attribut de
chemin de BGP (des « attestations ») pour assurer l'authenticité et l'intégrité de la
communication BGP. Ces perfectionnements permettront de vérifier et détecter:
● L'authentification d'un routeur qui participe à la communication de routage
● L'information sur l'accessibilité reçue d'un routeur partenaire est authentique et
n'a pas été modifié sans autorisation

● La propriété d'un préfixe
● Les inconsistances causée par la mauvaise configuration
Pourtant comme SBGP exige plusieurs de changements par rapport au BGP, il
n'est pas encore déployé en raison de l'incompatibilité avec l'infrastructure courante
4.2.2. soBGP (Secure Origin BGP)
soBGP est proposé par des chercheurs au Cisco Systems comme une alternative
légère à SBGP [5]. soBGP vise à authentifier deux aspects d'information de routage.
D'abord, soBGP détermine si l'AS est autorisé à annoncer un préfixe donné. Ensuite,
soBGP essaie de vérifier si l'AS a publié un préfixe auquel il a au moins un chemin
valide (en terme de politique et de topologie). soBGP emploie trois types de
certificat :
● Le certificat d'Entité est employé comme l'identité et la clé publique de l'AS.
● Le Certificat d'Autorisation authentifie l'attribution et la délégation des blocs
d'IP, ainsi il est employé pour vérifier la propriété de préfixe.
● Le Certificat de Politique authentifie les politiques d'AS, les politiques de
préfixe et les informations de connectivité, donc il est nécessaire pour vérifier
la validité d'un chemin.
Au lieu de compter sur une infrastructure hiérarchique de PKI, soBGP emploie un
modèle de Web de Confiance (Web-of-Trust) pour valider des certificats.
4.2.3. psBGP (Pretty Secure BGP)
L'objectif de psBGP est de fournir une alternative à SBGP et soBGP avec un
équilibre raisonnable entre la sécurité et l'applicabilité [6]. Il consiste de 2 points:
● psBGP utilise un modèle de confiance centralisé pour l'authentification des
AS. Chaque AS obtient un certificat de clé publique fourni par une des
autorités de confiance, par exemple RIR (Regional Internet Registry)
● psBGP se sert d'un modèle de confiance décentralisé pour la vérification de
propriété des préfixes. Chaque AS crée une liste d'assertion des préfixes et des
AS qui les possèdent. Cette liste sert à vérifier la propriété des préfixes pour
soi-même et pour ses AS partenaires. Un préfixe appartient à un AS s'il est
confirmé de façon consistante par ses AS partenaires. De ce fait, on partage la


23


difficulté de vérification de propriété des préfixes entre les AS au lieu
d'utiliser un mécanisme centralisé.
L'avantage de psBGP est qu'il peut apparemment défendre contre des menaces de
falsification et de mauvaises configurations en pratique.
4.2.4. pgBGP (Pretty Good BGP)
pgBGP propose un renforcement au BGP, qui recommande de ralentir la
republication des chemins attaquants en fournissant le temps aux opérateurs de réseau
d'agir avant que le problème se propage sur l'Internet [7]. Il est basé sur ce point de
vue : les alarme fausses négatives sont plus problématiques que les alarmes fausses
positives, parce qu'il y a souvent les chemins alternatifs disponibles à une destination.
pgBGP surveille les annonces de routes malveillantes en observant l'AS original
pour chaque préfixe. Si une message de routage annonce un AS original différent de
ce qu'on a vu récemment (pour une période prédéfinie), pgBGP traite le chemin
annonce comme anormal. Quand un chemin anormal est détecté, le routeur produit
une alarme, exige les opérateurs de réseau ou les systèmes automatisés de vérifier la
validité du nouveau chemin.
4.2.5. Mécanisme « Listen and Whisper »
« Listen and Whisper » est une combinaison de deux mécanismes. « Listen »
surveille passivement le trafic de données et vérifie si les chemins fondamentaux à
différentes destinations existent en observant les flux TCP sur ces chemins.
« Whisper » utilise des fonctions cryptographiques avec la redondance de routage
pour détecter les annonces de chemins fausses dans la communication de routage. Ces
mécanismes sont facile à déployer, et ne se fondent pas sur une infrastructure de clé
publique ou une autorité centrale [23].
4.2.6. Autres méthodes de l’authentification de BGP
F. Wu et al. présentent un renforcement au BGP qui permet au BGP de détecter

des fausses annonces d'origine de préfixes. Basant sur le fait que la topologie
d'Internet est richement redondante, ainsi il est difficile de bloquer complètement les
informations de routage authentiques. Les annonces de route falsifiées peuvent être
détectées en surveillant les conflits [24].
B. Akyol et al. introduisent une nouvelle approche à valider les messages BGP. Ils
suggèrent de construire un graphique de validation d'accessibilité (RVG Reachability
Validation Graph) pour examiner l'information d'origine et de chemin des annonces
[25]. Un RVG est un graphe orienté dans lequel les noeuds sont les AS et les arêtes
représentent des liens entre deux AS. Ces information sont fournies par les AS via un
système centralisé qui supporte RPSL (Routing Policy Specification Language, le
langage de spécification des politiques de routage), via des serveurs web sécurisés ou
l'établissement des échanges sécurisées entre des AS.
W. Aiello et al. fournissent un mécanisme d'authentification de l'origine du préfixe
en formalisant la sémantique de la délégation d'adresse [26]...

24


Chapitre 3

La faisabilité des attaques visant les
protocoles de routage
1. Arbre des attaques de routage
Les attaques visant les protocoles de routage sont théoriquement nombreuses et
faisables. S. Murphy recouvre dans le RFC 4272 toutes les possibilités d'attaque
visant BGP en terme de protocole, dont certaines ne sont pas faisables en réalité. Cette
section essaie de décrire plusieurs scénarios d'attaque de routage qui sont considérés
applicables et hautement risqués par les experts de réseau. Les protocoles mentionnés
sont RIP, OSPF (intra-domaine) et BGP (inter-domaine). On n'abordera pas les
protocoles IGRP et EIGRP qui sont propriétaires de Cisco et du protocole IS-IS de

ISO qui n'est utilisé que très peu dans le routage intra-domaine
1.1. Attaques visant RIP
RIP est une protocole de routage de type vecteur de distance. Chaque routeur
communique aux autres routeurs la distance entre lui et un réseau (METRIC, la
métrique ou le nombre des sauts - "hops"). Ainsi, quand un routeur reçoit cette
information, il ajoute dans son tableau de routage le chemin vers ce réseau et
incrémente la distance avant de republier ce chemin aux autres routeurs.
Les routeurs RIP communiquent entre eux par les paquets UDP destinés au port
520. Cela rend ce protocole moins fiable en comparaison de BGP qui utilise TCP. RIP
version 1 n'exige aucun mécanisme d'authentification. RIP version 2 a réglé ce
problème en recommandant l'utilisation de MD5 dans les paquets UDP. La capture
(reniflement sur le lien) des paquets pour une attaque cryptanalytique sera possible
pour casser l'authentification et injecter les fausses routes.
Les attaques possibles pour RIP sont (Voir figure 3.1):
● La capture de paquets et l'attaque cryptanalytique sur l'authentification MD5.
La capture des messages de routage de RIP donne une image complète de la
topologie du réseau. De plus, l'attaque cryptanalytique MD5 sur les paquets
UDP est possible dans le cas où l'attaquant veux connaître la clé secrète pour
injecter de fausses routes aux routeurs qui utilisent l'authentification MD5.
● Les tentatives de parler RIP V1 (sans authentification) avec un routeur RIP
V2. En raison de la compatibilité descendante (backward compatibility), les
routeurs RIP V2 sont supposés accepter les messages RIP V1 qui manquent
une mécanisme d'authentification. L'attaquant peut essayer de parler RIP V1
avec un routeur et d'injecter avec succès les fausses routes
● L'insertion de fausse route pour rediriger le trafic ou empoisonner la table de
routage. L'attaquant qui connaît bien la topologie du réseau peut injecter des
messages pour forcer un routeur à utiliser d'un chemin particulier afin de

25