Un ataque de ping de muerte (PoD) es una forma de ataque DDoS en el que un atacante envía al equipo receptor solicitudes de ping simples como paquetes de IP fragmentados que son demasiado grandes o tienen un formato incorrecto. Estos paquetes no se adhieren al formato del paquete IP cuando se vuelven a ensamblar, lo que genera errores de almacenamiento dinámico/memoria y bloqueos del sistema.
Las solicitudes de ping del protocolo de mensajes de control de Internet (ICMP) se utilizan para comprobar la conectividad y el estado de los equipos de red. En un ping ICMP legítimo, el equipo receptor responde a una solicitud de eco ICMP. La respuesta indica la salud del destinatario. Enviar una solicitud de ping con un encabezado mayor a 65,535 bytes viola el Protocolo de Internet.
¿Cómo funciona un ataque de ping de muerte?
Una vez que el equipo destinatario vuelve a ensamblar la solicitud de ping (con sus paquetes de IP fragmentados), esto puede dar como resultado un tamaño de solicitud de IP superior a 65,535 bytes, lo que puede provocar fallas en el sistema. Los bloqueos son causados por errores de almacenamiento dinámico/memoria debido al desbordamiento de los búferes asignados para volver a ensamblar los encabezados y el cuerpo de IP.
Aunque PoD es un ataque DDoS heredado y los ataques de inundación ICMP se usan con más frecuencia, PoD aún puede afectar los sistemas sin parches. Se han descubierto vulnerabilidades a PoD recientemente en 2018 en equipos Apple que usaban un kernel XNU sin parches. Esto provocó desbordamientos de montículo y los hizo susceptibles a la ejecución remota de código.
¿Cómo se puede mitigar un ataque de ping de muerte?
Para mitigar los ataques de PoD, la pila TCP del destinatario debe parchearse para que verifique el tamaño total de los paquetes IP y asigne suficiente espacio de búfer para el reensamblaje. Otra opción es truncar la solicitud de IP al tamaño máximo de los búferes asignados. Esto evita que la solicitud se reescriba, lo que podría provocar un desbordamiento del montón. Otro enfoque, dado que no es práctico bloquear por completo todas las solicitudes de ping para protegerse de los ataques PoD, es filtrar solo las solicitudes de ping fragmentadas y procesar solo las solicitudes de ping no fragmentadas.
La protección contra DDoS de Radware (DefensePro y Servicio de protección contra DDoS en la nube) y las soluciones de entrega de aplicación mitigan los ataques PoD al descartar paquetes con formato incorrecto antes de que lleguen a la computadora host de destino. Los paquetes ICMP grandes, como en un ping de muerte ICMP, se pueden bloquear mediante un filtro de denegación combinado con patrones binarios utilizados para filtrar compensaciones de IP distintas de cero o bits de "Más fragmentos" enviados en los identificadores de IP.
Artículos relacionados
Recursos adicionales