Ataque DDoS de inundación de Ping (ICMP)

Una inundación de ping es un tipo de ataque DDoS que sobrecarga un objetivo con solicitudes ICMP.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Define a Ping flood DDoS attack
  • Be able to explain how a Ping flood attack works
  • Know the types of Ping Attacks
  • Implement strategies for mitigating Ping Flood attacks

Copiar enlace del artículo

¿Qué es un ataque de inundación de Ping (ICMP)?

Una inundación de ping es un ataque de denegación de servicio en el que el atacante intenta sobrecargar un dispositivo objetivo con paquetes de solicitud de eco ICMP, lo que provoca que el objetivo se vuelva inaccesible al tráfico normal. Cuando el ataque de tráfico proviene de múltiples dispositivos, el ataque se convierte en un ataque DDoS o de denegación de servicio distribuido.

¿Cómo funciona un ataque de inundación de ping?

El Protocolo de control de mensajes de Internet (ICMP), que se utiliza en un ataque de inundación de Ping, es un protocolo de la capa de Internet que utilizan los dispositivos de red para comunicarse. Las herramientas de diagnóstico de red traceroute y ping funcionan ambas con ICMP. Normalmente, los mensajes ICMP de solicitud de eco y de respuesta de eco se utilizan para hacer ping a un dispositivo de red, con el fin de diagnosticar el estado y la conectividad del dispositivo y la conexión entre el remitente y el dispositivo.

Una solicitud ICMP requiere algunos recursos del servidor para procesar cada solicitud y para enviar una respuesta. La solicitud también requiere ancho de banda tanto en el mensaje entrante (solicitud de eco) como en la respuesta saliente (respuesta de eco). El ataque de inundación de Ping pretende sobrecargar la capacidad del dispositivo objetivo para responder al elevado número de solicitudes y/o sobrecargar la conexión de red con tráfico falso. Al tener muchos dispositivos en una botnet dirigidos a la misma propiedad de Internet o componente de infraestructura con solicitudes ICMP, el tráfico de ataque se incrementa considerablemente, lo que puede provocar una interrupción de la actividad normal de la red. Históricamente, los atacantes solían suplantar en una dirección IP falsa para enmascarar el dispositivo emisor. Con los ataques modernos de botnets, los actores maliciosos rara vez ven la necesidad de enmascarar la IP del bot, y en su lugar confían en una gran red de bots no suplantados para saturar la capacidad de un objetivo.

La forma de DDoS de una inundación de Ping (ICMP) se puede dividir en 2 pasos que se repiten:

  1. El atacante envía muchos paquetes de solicitud de eco de ICMP al servidor objetivo utilizando varios dispositivos.
  2. A continuación, el servidor objetivo envía un paquete de respuesta de eco de ICMP a la dirección IP de cada dispositivo solicitante como respuesta.

El efecto dañino de una Inundación de Ping es directamente proporcional al número de solicitudes realizadas al servidor objetivo. A diferencia de los ataques DDoS basados en la reflexión, como la amplificación NTP y la amplificación DNS, el ataque de tráfico de inundación de Ping es simétrico; la cantidad de ancho de banda que recibe el dispositivo objetivo es simplemente la suma del tráfico total enviado desde cada bot.

¿Cómo se mitiga un ataque de inundación de Ping?

La forma más fácil de desactivar una inundación de ping es deshabilitando la funcionalidad ICMP del enrutador, ordenador u otro dispositivo objetivo. Un administrador de red puede acceder a la interfaz administrativa del dispositivo, y deshabilitar su capacidad de enviar y recibir cualquier solicitud que utilice el ICMP, lo que elimina de forma efectiva tanto el procesamiento de la solicitud como la respuesta de eco. La consecuencia de esto es que todas las actividades de red que implican ICMP se desactivan, lo que hace que el dispositivo no responda a las solicitudes de ping, de traceroute y otras actividades de red.

¿Cómo mitiga Cloudflare los ataques de inundación de Ping?

Cloudflare mitiga este tipo de ataque en parte al situarse entre el servidor de origen objetivo y la inundación de ping. Cuando se realiza cada solicitud de ping, Cloudflare se encarga del proceso de procesamiento y respuesta de la solicitud y respuesta de eco de ICMP en nuestro perímetro de la red. Esta estrategia elimina el coste de recursos, tanto de ancho de banda como de capacidad de procesamiento, del servidor objetivo y lo sitúa en la red Anycast de Cloudflare. Más información sobre la protección contra DDoS de Cloudflare.

Ventas