Ataques ICMP: todo lo que necesita saber
Publicado: 2023-09-19No sorprende que los piratas informáticos se esfuercen por encontrar una debilidad en todo, desde el software simple hasta los protocolos más fundamentales que sustentan la estructura de Internet tal como la conocemos. Como uno de los componentes esenciales de la pila de protocolos de Internet, el Protocolo de mensajes de control de Internet actúa como un portador de mensajes global, transmitiendo información vital sobre el estado de los dispositivos de red y las redes completas que forman la red mundial.
Aunque es una herramienta de comunicación invaluable, ICMP se convierte en una vía potencial para que los atacantes aprovechen las debilidades inherentes a su diseño. Al explotar la confianza que los dispositivos de red depositan en los mensajes ICMP, los actores maliciosos intentan eludir los sistemas de seguridad implementados por el host de la víctima, provocando interrupciones en las operaciones de la red, que en última instancia pueden resultar en una denegación de servicio.
Como grupo distinto de ataques de denegación de servicio, los ataques ICMP ya no son una herramienta principal en la caja de herramientas del atacante. Sin embargo, siguen causando estragos en los negocios online. Los ataques de ping de inundación, los ataques de pitufos y el llamado ping de la muerte: todos ellos son variaciones diferentes de los ataques ICMP que aún pueden representar una amenaza para las operaciones de red en todo el mundo.
En esta guía sobre ataques ICMP, aprenderá qué es ICMP y cómo lo utilizan los piratas informáticos para provocar denegación de servicio a servidores y redes enteras. Profundizaremos en los mecanismos subyacentes a los ataques ICMP para brindarle el conocimiento y las herramientas necesarios para proteger su negocio del daño que representan.
¿Qué es ICMP?
El Protocolo de mensajes de control de Internet, o ICMP, es un protocolo de red utilizado por los dispositivos de red para comunicarse información operativa entre sí. Si bien ICMP a menudo se considera parte del protocolo IP ya que sus mensajes se transportan como carga útil IP, el Protocolo de mensajes de control de Internet se encuentra justo arriba y se especifica como un protocolo de capa superior en los datagramas IP. Sin embargo, su actividad todavía se limita a la tercera capa del conjunto de protocolos de Internet, conocida como capa de red.
Cada mensaje ICMP tiene un campo de tipo y código que especifica el tipo de información que transmite y su propósito, así como una parte de la solicitud original que provocó que se generara el mensaje. Por ejemplo, si el host de destino terminó siendo inalcanzable, el enrutador que no pudo pasarle la solicitud original generará un mensaje ICMP tipo tres, código uno, informándole que no pudo encontrar una ruta al servidor que especificó.
¿Para qué se utiliza ICMP?
La mayoría de las veces, ICMP se utiliza para manejar informes de errores en situaciones en las que no se pudo alcanzar la red de destino o el sistema final. Los mensajes de error como "Red de destino inalcanzable" tienen su origen en ICMP y se le mostrarán si su solicitud nunca completó el recorrido previsto. Como el mensaje ICMP incluye una parte de la solicitud original, el sistema lo asignará fácilmente al destino correcto.
Aunque el informe de errores es una de las principales aplicaciones del Protocolo de mensajes de control de Internet, ICMP sustenta la funcionalidad de dos herramientas fundamentales de diagnóstico de red: ping y traceroute. Ambas utilidades se utilizan ampliamente para probar la conectividad de la red y rastrear el camino para eliminar redes y sistemas finales. Y aunque ping y traceroute suelen usarse indistintamente, sus métodos operativos difieren significativamente.
Ping y trazaruta
Ping envía una serie de mensajes ICMP del tipo de solicitud de eco, esperando respuestas de eco del host de destino. Si cada solicitud recibe una respuesta, Ping informará que no se ha perdido ningún paquete entre los sistemas de origen y de destino. De manera similar, si algunos de los mensajes nunca llegan a su destino debido a la congestión de la red, la utilidad informará esos paquetes como perdidos.
Traceroute tiene un mecanismo más complejo y fue creado para un propósito diferente. En lugar de enviar solicitudes de eco al host previsto, envía una ráfaga de paquetes IP que deberían caducar una vez que lleguen al destino previsto. De esta manera, el enrutador o host receptor se verá obligado a generar el mensaje ICMP caducado del tiempo de vida (TTL) que se enviará de vuelta a la fuente. Habiendo recibido mensajes de respuesta ICMP para cada paquete original, Traceroute tendrá los nombres de los conmutadores de paquetes que forman la ruta al host de destino, junto con el tiempo que tardaron los paquetes originales en llegar a cada uno de ellos.
¿Qué hace que ICMP sea fácil de explotar?
Como ICMP se limita a la capa de red del modelo de Interconexión de Sistemas Abiertos (OSI), sus solicitudes no requieren que se establezca una conexión antes de ser transmitidas, como es el caso del protocolo de enlace de tres vías introducido por TCP y amplificado por TLS con el uso de certificados SSL/TLS. Esto hace posible enviar solicitudes de ping a cualquier sistema, lo que a su vez facilita su explotación.
Como puede ver, aunque ICMP ha demostrado ser un componente invaluable de la red global, también ha atraído la atención de los ciberdelincuentes que querían utilizarlo con fines maliciosos. Los actores maliciosos aprovechan las debilidades presentes en la implementación de ICMP para causar interrupciones en las redes y los hosts individuales. Al realizar ataques ICMP, los piratas informáticos transforman ICMP de una herramienta vital de diagnóstico de red a una causa fundamental de las interrupciones de la red.
Ataques ICMP como un tipo menos peligroso de denegación de servicio (DoS)
Los ataques ICMP explotan las capacidades del Protocolo de mensajes de control de Internet para abrumar las redes y dispositivos específicos con solicitudes, provocando la llamada inundación de ancho de banda, una forma de denegación de servicio (DoS) que tiene como objetivo agotar la capacidad de la víctima para manejar el tráfico entrante. Un ataque ICMP se puede definir como un ataque de denegación de servicio que utiliza mensajes ICMP como herramienta principal para interrumpir las operaciones de la red.
Los ataques ICMP a menudo se consideran menos peligrosos y más fáciles de defender que la mayoría de los otros tipos de ataques de denegación de servicio. Y aunque los ataques ICMP aún pueden causar daños importantes, suelen ser más sencillos de detectar y mitigar por varias razones:
- Los ataques ICMP se centran en la capa de red. ICMP opera en un nivel inferior de la pila de protocolos de Internet y los mensajes ICMP transportan una carga útil más pequeña en comparación con las cargas útiles con gran cantidad de datos utilizadas en otros ataques de denegación de servicio. Esto facilita la identificación del tráfico ICMP malicioso.
- Los ataques ICMP muestran patrones distintivos. Los mensajes ICMP maliciosos a menudo exhiben patrones distintivos, como una avalancha de solicitudes de eco del mismo remitente o mensajes de error específicos.
- El tráfico ICMP es más fácil de limitar. Los administradores de red pueden limitar o incluso deshabilitar completamente el tráfico ICMP entrante y saliente, lo que no causará ninguna interrupción notable en las operaciones normales.
3 tipos principales de ataques ICMP
Los tres tipos principales de ataques ICMP incluyen ping Flood, ataques Smurf y ataques ping of death. Cada uno de ellos utiliza mecanismos distintos, pero la principal diferencia son los tipos de mensajes ICMP que utilizan los ciberdelincuentes.
Como comentamos, con la excepción de la utilidad Ping que genera solicitudes de eco y las dirige hacia el destino, el sistema de destino generalmente genera mensajes ICMP para alertar al origen de un determinado problema. De esta manera, en lugar de dirigir una ráfaga de paquetes ICMP hacia el sistema de la víctima, los atacantes pueden utilizar técnicas más sofisticadas, como convertir a la víctima del ataque en el atacante a los ojos de otra víctima.
Echemos un vistazo más de cerca a cada uno de los tres tipos más frecuentes de ataques ICMP y veamos cómo causaron interrupciones masivas en Internet antes de que se introdujeran ampliamente mecanismos defensivos destacados.
Inundación de ping
La inundación de ping es la variación más simple y frecuente de un ataque ICMP, en la que actores maliciosos dirigen una cantidad excesiva de solicitudes de eco al sistema o red víctima. Simulando la actividad normal de la utilidad Ping, los ciberdelincuentes atacan el ancho de banda del host de destino.
Con una avalancha de solicitudes ICMP enviadas en la misma dirección, el enlace de acceso del objetivo se obstruye, impidiendo con éxito que el tráfico legítimo llegue al destino. Y como se espera un mensaje de respuesta de eco ICMP por cada solicitud de eco, un ataque de inundación de ping puede provocar un aumento significativo en el uso de la CPU, lo que puede ralentizar el sistema final y provocar una denegación total de servicio.
Al igual que con cualquier otro tipo de DoS, los actores maliciosos pueden emplear varios hosts para llevar a cabo un ataque de inundación de ping, convirtiéndolo en un ataque de denegación de servicio distribuido (DDoS). El uso de múltiples fuentes de ataque no solo amplifica los efectos del ataque, sino que también ayuda al atacante a evitar ser descubierto y ocultar su identidad.
Los ataques distribuidos de denegación de servicio suelen aprovechar las botnets: redes de puntos finales comprometidos y dispositivos de red controlados por el atacante. Las botnets se crean y expanden infectando el dispositivo de la víctima con un tipo especial de malware que permitirá al propietario de la botnet controlar el sistema comprometido de forma remota. Una vez que se le indique, el dispositivo infectado comenzará a abrumar al objetivo del ataque de inundación de ping con mensajes de solicitud de eco ICMP sin el conocimiento o consentimiento del propietario legítimo.
Uno de los ataques de inundación de ping a gran escala más famosos tuvo lugar en 2002. Los ciberdelincuentes aprovecharon una botnet para dirigir cargamentos de mensajes de solicitud de eco ICMP a cada uno de los trece servidores de nombres raíz DNS. Afortunadamente, como los conmutadores de paquetes detrás de los servidores de nombres ya estaban configurados para descartar todos los mensajes ping entrantes, el ataque tuvo poco o ningún impacto en la experiencia global de Internet.
Ataque pitufo
Los ataques de los pitufos convierten a la víctima en el atacante percibido al hacer que parezca que las solicitudes de eco ICMP provienen de una fuente diferente. Al falsificar la dirección del remitente, los atacantes dirigen una gran cantidad de mensajes ICMP a una red o redes de dispositivos con la esperanza de que las respuestas de eco abrumen al host de la víctima real: el sistema especificado como fuente en las solicitudes de ping originales.
Los ataques de los pitufos alguna vez fueron considerados una gran amenaza para las redes informáticas debido a su inmenso potencial de destrucción. Sin embargo, a partir de ahora, este vector de ataque rara vez se utiliza y generalmente se considera una vulnerabilidad abordada. Esto se debe al hecho de que la gran mayoría de los filtros de paquetes descartarán automáticamente los mensajes ICMP que van a una dirección de transmisión, lo que significa que se dirigen a todos los dispositivos de la red de destino. Tener dicha regla especificada evitará que la red se utilice en un ataque de denegación de servicio de Smurf, lo que efectivamente pondrá fin al mismo.
Ping de la muerte
Si bien los ataques de inundación de ping y pitufos se consideran ataques de denegación de servicio basados en el volumen, el ping de la muerte es un ataque de vulnerabilidad destinado a dejar el sistema víctima inoperable mediante el envío de mensajes ICMP bien elaborados al destino. Este ataque ICMP se considera menos frecuente que los otros dos ataques DoS que analizamos anteriormente. Sin embargo, tiene el mayor potencial de destrucción.
Los mensajes ICMP se transportan en datagramas IP, que pueden tener un tamaño limitado. Enviar un mensaje con formato incorrecto o de gran tamaño a un host puede provocar un desbordamiento de la memoria y, potencialmente, un fallo total del sistema. Por peligroso que parezca, la mayoría de los sistemas modernos están equipados con medios suficientes para detectar este tipo de anomalías, evitando que los mensajes ICMP con formato incorrecto lleguen a su destino.
¿Cómo detectar y mitigar un ataque ICMP?
Los piratas informáticos no eligen a qué sitios web y servidores atacar, especialmente en ataques DDoS a gran escala. Si se pregunta: "¿Por qué un hacker atacaría mi sitio web?", es importante recordar que, independientemente del motivo, tener el conocimiento para mitigar los ataques ICMP es esencial para mantener la seguridad de su presencia en línea.
La mitigación de ataques ICMP, especialmente en el caso de una inundación de ping, no difiere de la mitigación de otros tipos de ataques de denegación de servicio. La clave es identificar el tráfico malicioso y bloquear su fuente, negando efectivamente a los atacantes el acceso al servidor.
Sin embargo, rara vez necesitará observar y analizar el tráfico de red manualmente, ya que la mayoría de las soluciones de seguridad, desde los tradicionales filtros de paquetes sin estado hasta los sistemas avanzados de detección de intrusiones (IDS), están configurados de fábrica para limitar el tráfico ICMP y mitigar eficazmente los ataques ICMP. Gracias al avance de las soluciones de seguridad modernas, las inundaciones de ping y otros tipos de ataques ICMP ya no representan una amenaza importante para los servidores y los sitios web.
¿Cómo defenderse de los ataques ICMP?
Una estrategia de defensa eficaz contra los ataques ICMP comienza con la implementación de reglas sólidas de filtrado de paquetes, que incluyen limitar la velocidad o incluso deshabilitar por completo el tráfico ICMP entrante y saliente. Si bien bloquear todos los mensajes ICMP para que no entren y salgan del servidor hará imposible rastrear la ruta al servidor y que las solicitudes de ping lleguen a él, tendrá poco o ningún efecto en las operaciones del servidor y del sitio web.
La mayoría de las veces, el tráfico ICMP saliente está restringido por firewalls de software de forma predeterminada, por lo que es muy probable que su proveedor de hosting ya lo haya hecho por usted. Todas las soluciones de alojamiento totalmente administradas que ofrecen LiquidWeb y Nexcess vienen con potentes reglas de firewall que requerirán pocos o ningún ajuste para defenderse de los ataques ICMP.
Generalmente, si desea que su servidor sea visible en la red global mediante las utilidades Ping y Traceroute, puede optar por limitar la velocidad de las solicitudes de ping entrantes y salientes. La configuración predeterminada que tienen la mayoría de los firewalls de software es limitar la cantidad de solicitudes de eco ICMP entrantes a una por segundo para cada dirección IP, lo cual es un buen punto de partida.
Una excelente manera de defender su servidor contra la inundación de ping y otros ataques ICMP es mediante el uso de una red de entrega de contenido (CDN). Los CND modernos implementan reglas de firewall sólidas y realizan una inspección profunda de paquetes, lo que reduce significativamente la cantidad de solicitudes maliciosas que llegan a su servidor. En el caso de los ataques ICMP, incluso los conjuntos de reglas de firewall predeterminados implementados por la CDN ayudarán a defenderse eficazmente contra los ataques ICMP.
Proteja su sitio web de WordPress con iThemes Security Pro
Al explotar la implementación del mensaje de control de Internet en la pila de protocolos, los ciberdelincuentes pueden transformar un componente fundamental de Internet en un arma peligrosa utilizada para causar estragos tanto en empresas como en individuos. Los ataques ICMP, como los ataques de inundación de ping o los ataques smurf, tienen como objetivo provocar una denegación de servicio abrumando al host o dispositivo de red objetivo con una avalancha o mensajes ICMP maliciosos. Aprovechar las botnets y falsificar la dirección de origen ayuda a los piratas informáticos a hacer que los ataques ICMP sean aún más efectivos y aumentan significativamente su potencial de destrucción.
Afortunadamente, los ataques ICMP ya no son una amenaza importante para los sitios web y los servidores, ya que las soluciones de seguridad modernas proporcionan excelentes mecanismos defensivos que ayudan a prevenir y mitigar con éxito las inundaciones de ping. Los ataques ICMP pueden considerarse menos peligrosos que otros ataques de denegación de servicio (DoS) dirigidos a la capa de aplicación de la pila de protocolos.
iThemes Security Pro y BackupBuddy le garantizan estar un paso por delante de las amenazas de ciberseguridad al mantener su WordPress protegido en todo momento. Con programas de respaldo flexibles y restauraciones con un solo clic, puede estar seguro de que una copia de trabajo limpia de su sitio web de WordPress se almacena de forma segura en una ubicación remota, en algún lugar al que los piratas informáticos no pueden llegar. La protección avanzada de fuerza bruta, la autenticación multifactor, el monitoreo de la integridad de los archivos y el escaneo de vulnerabilidades reducirán significativamente la superficie de ataque y lo ayudarán a mitigar cualquier amenaza con facilidad.
El mejor complemento de seguridad de WordPress para proteger y proteger WordPress
Actualmente, WordPress utiliza más del 40% de todos los sitios web, por lo que se ha convertido en un blanco fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas sobre la seguridad de WordPress para facilitar la seguridad y protección de su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en nuestro personal que monitorea y protege constantemente su sitio de WordPress por usted.
Kiki tiene una licenciatura en administración de sistemas de información y más de dos años de experiencia en Linux y WordPress. Actualmente trabaja como especialista en seguridad para Liquid Web y Nexcess. Antes de eso, Kiki formó parte del equipo de soporte de Liquid Web Managed Hosting, donde ayudó a cientos de propietarios de sitios web de WordPress y aprendió qué problemas técnicos encuentran a menudo. Su pasión por la escritura le permite compartir su conocimiento y experiencia para ayudar a las personas. Además de la tecnología, a Kiki le gusta aprender sobre el espacio y escuchar podcasts sobre crímenes reales.