Ping de la muerte (POD)

¿Qué es un ataque de ping de la muerte?

Ping of Death (también conocido como PoD) es un tipo de ataque de  denegación de servicio  ( DoS ) en el que un atacante intenta bloquear, desestabilizar o congelar la computadora o el servicio objetivo enviando paquetes mal formados o de gran tamaño con un simple comando ping.

Mientras que los ataques PoD explotan las debilidades heredadas que pueden haber sido parcheadas en los sistemas de destino. Sin embargo, en un sistema sin parches, el ataque sigue siendo relevante y peligroso. Recientemente, un nuevo tipo de ataque PoD se ha vuelto popular. Este ataque, comúnmente conocido como una inundación de Ping, el sistema objetivo es atacado con paquetes ICMP enviados rápidamente a través de ping sin esperar respuestas.

Descripción del ataque

El tamaño de un paquete IPv4 correctamente formado, incluido el encabezado IP, es de 65 535 bytes, incluido un tamaño de carga útil total de 84 bytes. Muchos sistemas informáticos históricos simplemente no podían manejar paquetes más grandes y se colapsarían si recibieran uno. Este error se aprovechó fácilmente en las primeras implementaciones de TCP / IP en una amplia gama de sistemas operativos, incluidos Windows, Mac, Unix, Linux, así como en dispositivos de red como impresoras y enrutadores.

Dado que enviar un paquete de ping de más de 65.535 bytes viola el Protocolo de Internet, los atacantes generalmente envían paquetes con formato incorrecto en fragmentos. Cuando el sistema de destino intenta volver a ensamblar los fragmentos y termina con un paquete de gran tamaño, se puede producir un desbordamiento de la memoria y provocar varios problemas del sistema, incluido el bloqueo.

Los ataques Ping of Death fueron particularmente efectivos porque la identidad del atacante se podía falsificar fácilmente. Además, un atacante de Ping of Death no necesitaría un conocimiento detallado de la máquina que estaba atacando, a excepción de su dirección IP.

Vale la pena señalar que esta vulnerabilidad, aunque mejor reconocida por su explotación por ataques PoD, en realidad puede ser explotada por cualquier cosa que envíe un datagrama IP: eco ICMP, TCP, UDP e IPX.

Métodos de mitigación

Para evitar ataques Ping of Deatch y sus variantes, muchos sitios bloquean los mensajes de ping ICMP por completo en sus firewalls. Sin embargo, este enfoque no es viable a largo plazo.

En primer lugar, los ataques de paquetes no válidos pueden dirigirse a cualquier puerto de escucha, como puertos FTP, y es posible que no desee bloquear todos ellos por motivos operativos.

Además, al bloquear los mensajes de ping, evita el uso legítimo de ping, y todavía hay utilidades que dependen del ping para verificar que las conexiones estén activas, por ejemplo.

Imperva mitiga una inundación HTTP masiva  : 690.000.000 solicitudes DDoS de 180.000 IP de botnets.

El enfoque más inteligente sería bloquear selectivamente pings fragmentados, permitiendo que el tráfico de ping real pase sin obstáculos.

Los  servicios de Protección DDoS de Imperva  identifican y filtran de forma inteligente y preventiva todos los paquetes anormalmente grandes, incluso si están fragmentados, lo que elimina por completo la amenaza de PoD y ataques similares basados ​​en paquetes