Una inundación de ping es un tipo de ataque DDoS que sobrecarga un objetivo con solicitudes ICMP.
Después de leer este artículo podrás:
Contenido relacionado
ICMP
Ataque de inundación HTTP
Ataque de inundación de DNS
Ataque de inundación UDP
Ataque de inundación SYN
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una inundación de ping es un ataque de denegación de servicio en el que el atacante intenta sobrecargar un dispositivo objetivo con paquetes de solicitud de eco ICMP, lo que provoca que el objetivo se vuelva inaccesible al tráfico normal. Cuando el ataque de tráfico proviene de múltiples dispositivos, el ataque se convierte en un ataque DDoS o de denegación de servicio distribuido.
El Protocolo de control de mensajes de Internet (ICMP), que se utiliza en un ataque de inundación de Ping, es un protocolo de la capa de Internet que utilizan los dispositivos de red para comunicarse. Las herramientas de diagnóstico de red traceroute y ping funcionan ambas con ICMP. Normalmente, los mensajes ICMP de solicitud de eco y de respuesta de eco se utilizan para hacer ping a un dispositivo de red, con el fin de diagnosticar el estado y la conectividad del dispositivo y la conexión entre el remitente y el dispositivo.
Una solicitud ICMP requiere algunos recursos del servidor para procesar cada solicitud y para enviar una respuesta. La solicitud también requiere ancho de banda tanto en el mensaje entrante (solicitud de eco) como en la respuesta saliente (respuesta de eco). El ataque de inundación de Ping pretende sobrecargar la capacidad del dispositivo objetivo para responder al elevado número de solicitudes y/o sobrecargar la conexión de red con tráfico falso. Al tener muchos dispositivos en una botnet dirigidos a la misma propiedad de Internet o componente de infraestructura con solicitudes ICMP, el tráfico de ataque se incrementa considerablemente, lo que puede provocar una interrupción de la actividad normal de la red. Históricamente, los atacantes solían suplantar en una dirección IP falsa para enmascarar el dispositivo emisor. Con los ataques modernos de botnets, los actores maliciosos rara vez ven la necesidad de enmascarar la IP del bot, y en su lugar confían en una gran red de bots no suplantados para saturar la capacidad de un objetivo.
La forma de DDoS de una inundación de Ping (ICMP) se puede dividir en 2 pasos que se repiten:
El efecto dañino de una Inundación de Ping es directamente proporcional al número de solicitudes realizadas al servidor objetivo. A diferencia de los ataques DDoS basados en la reflexión, como la amplificación NTP y la amplificación DNS, el ataque de tráfico de inundación de Ping es simétrico; la cantidad de ancho de banda que recibe el dispositivo objetivo es simplemente la suma del tráfico total enviado desde cada bot.
La forma más fácil de desactivar una inundación de ping es deshabilitando la funcionalidad ICMP del enrutador, ordenador u otro dispositivo objetivo. Un administrador de red puede acceder a la interfaz administrativa del dispositivo, y deshabilitar su capacidad de enviar y recibir cualquier solicitud que utilice el ICMP, lo que elimina de forma efectiva tanto el procesamiento de la solicitud como la respuesta de eco. La consecuencia de esto es que todas las actividades de red que implican ICMP se desactivan, lo que hace que el dispositivo no responda a las solicitudes de ping, de traceroute y otras actividades de red.
Cloudflare mitiga este tipo de ataque en parte al situarse entre el servidor de origen objetivo y la inundación de ping. Cuando se realiza cada solicitud de ping, Cloudflare se encarga del proceso de procesamiento y respuesta de la solicitud y respuesta de eco de ICMP en nuestro perímetro de la red. Esta estrategia elimina el coste de recursos, tanto de ancho de banda como de capacidad de procesamiento, del servidor objetivo y lo sitúa en la red Anycast de Cloudflare. Más información sobre la protección contra DDoS de Cloudflare.