| Recouvrements de données dans les protocoles IPv4, IPv6 et TCP : exploration des réassemblages de divers piles réseaux et supervision réseau (Overlapping IPv4, IPv6, and TCP data: exploring errors, test case context and multiple overlaps inside network stacks and NIDSes) Aubard, Lucas - (2026-01-12) / Université de Rennes - Recouvrements de données dans les protocoles IPv4, IPv6 et TCP : exploration des réassemblages de divers piles réseaux et supervision réseau
| |||
Langue : Anglais Directeur(s) de thèse: Guette, Gilles Discipline : Informatique Laboratoire : IRISA Ecole Doctorale : MATISSE Classification : Informatique Mots-clés : Détection d'intrusion, évasion, IP, TCP, recouvrement de données
| |||
Résumé : La fragmentation IP et la segmentation TCP permettent de diviser des paquets réseaux trop volumineux en morceaux plus petits. Ce découpage peut donner lieu à du recouvrement, c'est-à-dire que plusieurs morceaux ainsi créés peuvent se chevaucher, de manière complète ou partielle, avec des données non nécessairement identiques. Les politiques de réassemblage, c'est-à-dire le morceau de données préféré en fonction du type de recouvrement, diffèrent selon les implémentations IPv4, IPv6 et TCP. Dès lors, un système de détection d'intrusion réseau (NIDS) qui ne ré-assemble pas les recouvrements de la même manière que l'hôte surveillé est aveugle au flux réellement traité par cet hôte, laissant la place à son contournement. L'objectif principal de cette thèse est d'évaluer dans quelle mesure les NIDS sont vulnérables à des attaques basées sur les recouvrements IPv4, IPv6 et TCP. Nous proposons tout d'abord une nouvelle méthode pour modéliser les recouvrements de fragments et de segments afin de garantir la complétude des tests. Nous instancions ce modèle dans notre outil PYROLYSE et testons les politiques de réassemblage de différents types de piles IP et TCP. Nous avons découvert que les politiques sont beaucoup plus diverses et complexes que décrites dans l'état de l'art et que les NIDS Suricata, Snort et Zeek présentent des incohérences de réassemblage avec ces piles, ce qui les rend vulnérables aux attaques par recouvrement. Nous avons également trouvé des erreurs de réassemblage dans cinq piles, dont une CVE. Abstract : IP fragmentation and TCP segmentation enable the splitting of large data packets into smaller ones. These mechanisms permit full or partial overlaps with different data on the overlapping portions. Reassembly policies, i.e., the data chunk preferences that depend on the overlap types, differ across IPv4, IPv6, and TCP implementations. This can lead to vulnerabilities, as Network Intrusion Detection Systems (NIDSes) may interpret the packet differently from the monitored hosts. The main goal of this thesis is to evaluate to what extent NIDSes are vulnerable to overlap-based attacks. We first propose a new way to model the fragment and segment overlaps to ensure complete testing. We instanciate this model in our tool PYROLYSE and test the reassembly policy of various IP and TCP stack types. We discovered that the policies are much more diverse and complex that described by related works. Suricata, Snort and Zeek NIDSes exhibit reassembly inconsistencies, which make them vulnerable to overlap-based attacks. We also found reassembly errors in five stacks, including one CVE. | |||