ICMP Flood - Ataque de Denegación de Servicio

1. ¿Qué es ICMP?

El Protocolo de Mensajes de Control de Internet (ICMP, por sus siglas en inglés) es un protocolo fundamental de la suite de protocolos de Internet. Su propósito principal es el intercambio de mensajes de control y error entre dispositivos de red (como routers, servidores, etc.).

Herramientas comunes que usan ICMP:

• Ping: Envía un mensaje de solicitud de eco (Echo Request) y espera una respuesta de eco (Echo Reply) para verificar si un host está activo y medir el tiempo de respuesta (latencia).
• Traceroute (tracert en Windows): Determina la ruta que toma un paquete para llegar a su destino y identifica los puntos de congestión.

2. ¿Cómo funciona un Ataque de ICMP Flood?

En un ataque normal de Ping Flood (el tipo más común de ICMP Flood), el atacante explota la funcionalidad básica del comando ping.

Mecanismo del ataque:

1. Amplificación: El atacante envía una cantidad masiva de paquetes ICMP Echo Request (Ping) a la víctima. Estos paquetes suelen ser generados desde muchos dispositivos comprometidos (un botnet en un ataque DDoS) y pueden ser falsificados para ocultar el origen real.
2. Sobrecarga: El dispositivo objetivo, siguiendo el protocolo, intenta responder a cada una de estas solicitudes enviando un paquete ICMP Echo Reply.
3. Agotamiento de Recursos: El volumen de solicitudes es tan alto que satura:
   • El Ancho de Banda: Consume toda la capacidad de la conexión a Internet de la víctima.
   • Los Recursos del Sistema: La CPU y la memoria del servidor se agotan al intentar procesar y responder a cada una de las solicitudes entrantes.

3. Tipos Comunes de ICMP Flood

· Ping Flood Directo:

El ataque se envía directamente desde el atacante (o su botnet) a la IP de la víctima. Es el más sencillo.

· Ataque Smurf:

Un tipo de ataque de amplificación más sofisticado y peligroso.

1. El atacante envía paquetes ICMP Echo Request a la dirección de broadcast de una red amplia.
2. Estos paquetes tienen su dirección de origen falsificada (spoofed) para que parezca que provienen de la víctima.
3. Todos los dispositivos de esa red responden a la solicitud, pero envían sus respuestas (Echo Reply) a la víctima, no al atacante.
4. Esto amplifica enormemente el volumen del ataque, ya que una sola solicitud genera decenas o cientos de respuestas dirigidas a la víctima.

4. Consecuencias

• Denegación de Servicio (DoS): El servicio o servidor objetivo se vuelve inaccesible.
• Pérdida de Productividad: Interrumpe las operaciones normales de una empresa.
• Pérdidas Económicas: especialmente para comercios electrónicos o servicios en línea que dependen de su disponibilidad.
• Daño a la Reputación: Los clientes pierden confianza en un servicio que está constantemente caído.

5. ¿Cómo Mitigarlo?

Medidas de protección:

• Configurar Firewalls: Bloquear el tráfico ICMP entrante no deseado desde Internet. Un firewall puede descartar todos los paquetes ICMP Echo Request, evitando que lleguen a los servidores internos.
• Rate Limiting (Limitación de Tasa): Configurar routers y firewalls para limitar la cantidad de respuestas ICMP que se permiten por segundo. Esto evita que el sistema se sobrecargue incluso bajo un ataque.
• Filtrado contra IP Spoofing: Implementar filtros en los routers de red para evitar que paquetes con direcciones IP de origen falsificadas entren o salgan de la red.
• Servicios de Mitigación de DDoS: Para ataques grandes (DDoS), muchas empresas contratan servicios especializados (como Cloudflare, Akamai, AWS Shield) que absorben y filtran el tráfico malicioso antes de que llegue a la red de destino.