Ping flood

El ping flood es un tipo de ataque de de­ne­ga­ción de servicio (en inglés, denial of service). Para que te hagas una idea de en qué consiste, podríamos co­m­pa­rar­lo con una broma te­le­fó­ni­ca: el atacante llama y cuelga una y otra vez, co­la­p­sa­n­do la línea e im­pi­die­n­do utilizar el servicio y responder a las llamadas legítimas.

Aparte del ping flood, se utilizan otros conocidos ataques de inu­n­da­ción como el HTTP flood, el SYN flood y el UDP flood, todos con el mismo objetivo: saturar el sistema de destino de so­li­ci­tu­des ar­bi­tra­rias hasta co­la­p­sar­lo. El ping flood no debe co­n­fu­n­di­r­se con el llamado ping de la muerte (en inglés, ping of death), que bloquea el sistema de destino di­re­c­ta­me­n­te, sin so­bre­ca­r­gar­lo de datos.

El ping flood es un ci­ber­ata­que que puede dirigirse contra diversos sistemas co­ne­c­ta­dos a Internet, como se­r­vi­do­res, rúters u or­de­na­do­res do­mé­s­ti­cos de usuarios pa­r­ti­cu­la­res.

En términos técnicos, el ping flood se basa en el Internet Control Message Protocol (ICMP). Este protocolo y el re­la­cio­na­do comando “ping” se utilizan ha­bi­tua­l­me­n­te para llevar a cabo pruebas de red. Mediante el ping flood, se realiza un envío masivo de paquetes ICMP echo request al ordenador de destino. De esta manera, si el atacante tiene más ancho de banda que la víctima, esta se cae de la red.

En esta versión más simple del ataque, el atacante (A) envía los paquetes echo request a la víctima (V) desde un único di­s­po­si­ti­vo. Para no revelar su identidad, el atacante recurre al spoofing y cambia su propia dirección IP. El ordenador (O) al que se puede acceder alea­to­ria­me­n­te mediante esta dirección IP es bo­m­ba­r­dea­do por los paquetes echo reply re­su­l­ta­n­tes. Este efecto de re­tro­di­s­pe­r­sión también se conoce como ba­c­k­s­ca­t­ter. En algunas variantes del ping flood, como el llamado ataque pitufo o ataque smurf, la re­tro­di­s­pe­r­sión se utiliza como arma en sí misma.

Para dirigir el ping flood contra la víctima, el atacante utiliza el comando “ping” o una al­te­r­na­ti­va moderna como la he­rra­mie­n­ta hping. El ataque comienza en la línea de comandos: el ping flood se des­en­ca­de­na mediante un comando diseñado es­pe­cia­l­me­n­te para el mismo. Por razones de seguridad, solo podemos incluir una muestra apro­xi­ma­da del código “hping”:

Veamos las opciones:

• La opción --icmp indica a la he­rra­mie­n­ta que utilice ICMP como protocolo.
• La opción --flood es muy im­po­r­ta­n­te: de acuerdo con la do­cu­me­n­ta­ción del comando “hping”, provoca que los paquetes se envíen lo más rápido posible. Por otro lado, esta opción hace que los paquetes echo reply de la víctima se descarten sin que se note. De esta manera, en lugar de ejecutar “ping” y luego esperar a que llegue la respuesta, como ocurre con el uso normal de este comando, la respuesta se “dispara” lo más rápido posible.
• La opción --rand-source falsifica la dirección IP del remitente. Así, en lugar de la dirección real, se introduce una dirección IP aleatoria.

Para des­en­ca­de­nar un ping flood di­s­tri­bui­do, el atacante (A) utiliza una botnet (B). Al ejecutar el comando, los bots que controla el atacante inician el ping flood contra la víctima (V). En este caso, como varios or­de­na­do­res apuntan al mismo objetivo, hay di­s­po­ni­ble un ancho de banda mucho mayor en el lado del atacante. Solo un objetivo muy bien protegido es capaz de co­n­tra­rre­s­tar este ataque.

En esta situación, el atacante no envía los paquetes echo request desde su propio ordenador, por lo que no hay razón para que oculte su dirección IP. Son los bots los que realizan las so­li­ci­tu­des desde su propia dirección, y la re­tro­di­s­pe­r­sión afecta a los or­de­na­do­res zombis de la botnet.

Hay tres formas pri­n­ci­pa­les de pro­te­ge­r­se contra los ataques ping flood:

Pro­ba­ble­me­n­te, la forma más fácil de pro­te­ge­r­se contra un ping flood attack es des­ha­bi­li­tar la fu­n­cio­na­li­dad ICMP del di­s­po­si­ti­vo de la víctima. Esta medida es de ayuda in­me­dia­ta­me­n­te cuando se ha iniciado un ping flood, aunque también puede uti­li­zar­se de forma pre­ve­n­ti­va para minimizar el área de ataque.

Además, pueden co­n­fi­gu­rar­se rúters y firewalls para detectar y filtrar el tráfico de red malicioso entrante. El uso de te­c­no­lo­gías de equi­li­brio de carga (en inglés, load balancing) y li­mi­ta­ción de velocidad (en inglés, rate limiting) también ayudan a pro­te­ge­r­se de los ataques DoS.

Grandes pro­vee­do­res como Clou­d­fla­re tienen di­s­po­ni­bles se­r­vi­do­res en centros de datos di­s­tri­bui­dos en todo el mundo. Si ad­mi­ni­s­tras tu propio sitio web, puedes guiar el tráfico a través de estos centros de datos, lo que implica disponer de un ancho de banda mucho mayor para amo­r­ti­guar los ataques DDoS. Además, el tráfico de datos se filtra mediante sistemas in­te­gra­dos como un firewall, un equi­li­bra­dor de carga y un limitador de velocidad.

La opción de proteger el propio sistema con hardware especial solo es co­n­ve­nie­n­te para las grandes empresas. Estos di­s­po­si­ti­vos ofrecen o combinan la fu­n­cio­na­li­dad de un firewall, un equi­li­bra­dor de carga y un limitador de velocidad para filtrar o bloquear el tráfico malicioso de la red.