Un ataque Ping of Death (PoD) –Ping de la muerte– es un tipo de ataque DoS (Denegación de Servicio) en el que los atacantes intentan desestabilizar, congelar o colapsar un dispositivo objetivo. Este tipo de ataque suele dirigirse a dispositivos de uso diario, como ordenadores portátiles y servidores. Los ataques PoD surgieron por primera vez a mediados de la década de 1990 y se convirtieron en una forma de que los atacantes explotaran las debilidades heredadas presentes en los dispositivos sin parches. El ataque PoD original ya no es tan común como antes. Hoy en día, estamos viendo un nuevo tipo de ataques PoD, conocido como ataque de inundación ICMP (ICMP flood).
Aunque es muy poco probable que los ataques PoD regulares le afecten hoy en día, los ataques de inundación ICMP son un peligro real. Siga leyendo para saber más sobre los ataques Ping of Death, cómo funcionan y cómo puede protegerse.
¿Qué es un Ataque Ping of Death (PoD)?
En los ataques Ping of Death, los ciberdelincuentes envían paquetes más extensos que el tamaño máximo de paquetes de una conexión a Internet. Esto hace que el dispositivo se ralentice.
Estos ataques, también llamados ping flood, se producen en sistemas parcheados y no parcheados utilizando las debilidades heredadas de los sistemas objetivo. Por otra parte, el atacante no necesitaba ningún conocimiento especial del sistema informático atacado, además de su dirección IP, para llevar a cabo el ataque.
Ahora que sabes lo que es un ataque PoD, vamos a profundizar para ver cómo funciona.
¿Cómo Funciona un Ataque PoD?
Cuando los ciberdelincuentes atacan una máquina, envían pings y esperan una respuesta de eco (echo reply) ICMP. Eso sí, la conexión entre el origen de estos ataques y el objetivo está intacta. Esto significa que algunos datos pueden ser tomados por la condición antes de que este proceso comience.
Los ciberdelincuentes sobrecargan tu conexión con paquetes para lanzar ataques DoS. Para poner las cosas en contexto, el tamaño máximo de los paquetes para IPv4 es de 65.535 bytes, incluyendo una carga útil total de 84 bytes. Al lanzar un ataque PoD, los ciberdelincuentes envían paquetes de ping mayores de 110k a la máquina objetivo.
Esto hace que la máquina objetivo se bloquee, rompiendo los protocolos TCP e IP en segmentos. A continuación, la máquina objetivo intenta volver a ensamblar los fragmentos. Desgraciadamente, el tamaño máximo de los paquetes excede el límite al recomponer los fragmentos. Esto da lugar a un desbordamiento del búfer y a un desbordamiento que hace que la máquina se congele o se bloquee.
Los ciberdelincuentes también pueden enviar este tipo de ataque a través del Protocolo de Datagramas de Usuario (UDP), el Intercambio de Paquetes de Internet (IPX) y el Protocolo de Control de Transmisión (TCP). Pueden utilizar cualquier cosa que envíe un datagrama del Protocolo de Internet. ¿Significa esto que los ataques PoD siguen funcionando?
¿Sigue Funcionando el Ping de la Muerte?
El PoD surgió inicialmente a mediados de la década de 1990. Se han protegido muchos dispositivos contra los ataques PoD desde entonces. Muchos sitios también siguen deteniendo los mensajes de ping ICMP para prevenir estos ataques y controlar las próximas variaciones de este ataque DoS.
Aun así, las defensas de cualquier empresa pueden flaquear si se enfrenta a contenido malicioso en cualquier ordenador, servidor o red. También se corre el riesgo de sufrir ataques con los que no hay parches:
- Dispositivos heredados
- Copias de Windows XP y Windows Server 2013 en sistemas ya vulnerables a una debilidad en las fuentes OpenType
- Controlador del kernel en TCPIP.sys
Ataques PoD Recientes
El regreso de los ataques Ping of Death fue un gran problema para las redes IPv6 en 2013. El exploit que vuelve a aparecer controla una debilidad de la fuente OpenType encontrada dentro de Windows XP y Server 2008 R2 (leer informe). Es probable que muchos ordenadores sean susceptibles debido a su falta de protección contra este tipo de ataques.
Los ordenadores también recibieron peticiones de ping masivas de fuentes externas. Estas peticiones de ping excedían el tamaño que estos sistemas operativos podían manejar. Los dispositivos necesitaban un software actualizado o simplemente que los administradores desactivaran la funcionalidad “habilitada” si no existían otras opciones.
Es cierto, los sistemas operativos modernos llevan combatiendo este tipo de amenazas desde finales de los años 90 con actualizaciones de software para protegerse de ellas. Sin embargo, las viejas vulnerabilidades todavía se cuelan a veces, a pesar de ser poco frecuentes.
Dado que este es el caso, vamos a aprender a mitigar los ataques DDoS y PoD. Empezaremos por los DDoS.
Métodos para Mitigar los Ataques DDoS
Los ataques DDoS son cada vez más comunes. En este caso, puedes proteger tu dispositivo creando un búfer de datos con suficiente margen para manejar paquetes más grandes. Una forma de hacerlo es superar los límites normales o añadir comprobaciones durante el proceso de re-ensamblaje de paquetes. Los búferes de datos también protegen contra la reconstrucción de mensajes más pequeños.
Otra forma es bloquear completamente las peticiones de ping ICMP desde el firewall. En efecto, no quieres permitir que los ciberdelincuentes que intentan acabar con la ejecución de un programa a través de una inundación PoD logren su objetivo.
Vamos a discutir las formas en que puedes proteger tu dispositivo de una inundación de ping.
Cómo Proteger tu Dispositivo de una Inundación de Ping
Evita la inundación de ping en tu dispositivo con estos 4 métodos:
- Actualizar el software
Los desarrolladores siguen corrigiendo las vulnerabilidades de sus productos después de descubrirlas. Con frecuencia lanzan parches cada vez que detectan defectos en su código. En este caso, debes asegurarte de actualizar tus aplicaciones inmediatamente. Si no prestas atención a dichas actualizaciones, pondrás tu máquina en peligro. En efecto, puedes seguir fácilmente esta instrucción: cada vez que un parche sea accesible, acéptalo. - Filtrar el tráfico
El administrador de tu sistema puede bloquear los pings segmentados para que no accedan a ninguna máquina de la red. Los pings estándar pueden seguir fluyendo abiertamente, pero todo lo que esté segmentado no podrá pasar. De esta manera, evitas que tu dispositivo se cuelgue debido a la sobrecarga de segmentos. - Evaluar después de reensamblar
En este punto, quieres comprobar el límite del tamaño final de los paquetes. Debe hacer esto porque puede ocurrir un bloqueo si no se permite que lleguen bits de datos grandes después de restringir los paquetes. - Uso del Buffer
Mejora tu capacidad para enfrentar paquetes grandes con un buffer de desbordamiento. Esto te ayuda a lidiar con paquetes que exceden el tamaño permitido.
Ahora, tu dispositivo debería estar a salvo de los ataques PoD, pero aún puedes reducir su probabilidad. De este modo, garantizarás mejor tu seguridad.
Cómo Reducir los Ataques PoD
Para evitar los ataques de ping de la muerte, y sus variantes, muchos sitios (o dispositivos) bloquean totalmente los mensajes de ping ICMP en sus firewalls. Sin embargo, este enfoque no es viable a largo plazo. Los ataques de paquetes inválidos pueden dirigirse a cualquier puerto de escucha -como los puertos FTP– y es posible que no quiera bloquearlos todos, por razones operativas.
Además, al bloquear los mensajes de ping, se impide el uso legítimo del ping – y todavía hay utilidades que dependen del ping para comprobar que las conexiones están activas, por ejemplo. El enfoque más inteligente sería bloquear selectivamente los pings fragmentados, permitiendo que el tráfico de ping real pase sin obstáculos.
Fortinet
Tu empresa puede proteger su infraestructura contra los ataques DDoS con FortiDados. Esta solución es dinámica y multicapa, y ofrece protección frente a amenazas conocidas y peligros de día cero. Además, FortiDados es fácil de desplegar. La solución incluye lo siguiente:
- Tutorial sobre cómo funciona el ping de la muerte con los sistemas de detección de intrusiones (IDS)
- Completas opciones de informes de análisis para quienes más lo necesitan
- Técnicas basadas en el comportamiento que eliminan por completo el requisito de firma de archivo.
Okta y Más Empresas
Los ciberdelincuentes siempre buscan nuevas formas de burlar tu seguridad y perjudicarte. Okta ofrece potentes herramientas de seguridad que mantienen a tu empresa a salvo. Además, hay muchas otras empresas que puedes tercerizar y que siempre estarán disponible para ayudarte a resolver problemas y responder a tus preguntas.
Palabras Finales
Un ataque Ping of Death es otro tipo de ataque DoS que tiene como objetivo tus dispositivos y los interrumpe. Aunque las primeras formas de ataques PoD ya no son amenazantes, los ciberdelincuentes están evolucionando, utilizando ataques de inundación ICMP. Por desgracia, también puedes estar en riesgo de sufrir estos ataques. Dicho esto, todavía puedes evitar el PoD y salvaguardar tus dispositivos, siempre y cuando tomes las precauciones necesarias y sigas las recomendaciones proporcionadas en este artículo.
