Tievolu Tievolu TievoluUn ICMP Flood o Ping Flood es un tipo de ataque de denegación de servicio (DoS) o denegación de servicio distribuido (DDoS) en el que un atacante envía una gran cantidad de paquetes ICMP Echo Request (también conocidos como paquetes "ping") a un sistema objetivo. El objetivo es sobrecargar el ancho de banda o los recursos del sistema objetivo para que no pueda procesar solicitudes legítimas. Esto puede provocar inmediatamente interrupciones o degradaciones significativas del rendimiento en sistemas desprotegidos.
ICMP (Internet Control Message Protocol) sirve en realidad para informar a los dispositivos de red sobre problemas de conexión, errores o información de control – p. ej. a través del conocido comando "ping". En un ICMP Flood, el atacante explota este protocolo enviando masivamente mensajes ICMP Echo Request a un objetivo. El sistema objetivo se siente obligado a responder a cada solicitud individual con un Echo Reply. Esto agota el ancho de banda de red, la CPU y otros recursos del sistema objetivo y a menudo también de su infraestructura de red.
Especialmente crítico: los dispositivos de red como routers y firewalls también pueden sobrecargarse con una gran cantidad de paquetes ICMP. Estos dispositivos reciben y procesan cada paquete, creando cuellos de botella adicionales y permitiendo que el ataque afecte también a segmentos de red detrás del objetivo real.
En esta variante, el ataque se lleva a cabo con la ayuda de una botnet formada por muchos dispositivos comprometidos. Esto genera un volumen extremadamente grande de solicitudes ICMP de diversas fuentes, dificultando la identificación y el bloqueo de atacantes individuales. La carga se distribuye entre muchos sistemas en internet.
Aquí, un único atacante envía un aluvión de paquetes ICMP al sistema objetivo. Estos ataques son menos comunes ya que son más fáciles de bloquear (p. ej. bloqueando la IP de origen). Generalmente realizado desde una sola fuente, pero sigue siendo peligroso con suficiente ancho de banda.
Para dificultar la defensa, el atacante puede falsificar la dirección IP de origen de los paquetes ICMP (IP spoofing). Esto dificulta la creación de reglas de filtrado o el rastreo del origen del ataque. Este método se combina frecuentemente con botnets DDoS.
El ICMP Flooding puede perturbar masivamente las redes con un esfuerzo técnico comparativamente pequeño. A diferencia de ataques más complejos, el ICMP Flood apunta específicamente a la sobrecarga del ancho de banda o la CPU, tanto del sistema objetivo como de los dispositivos de red directamente aguas arriba. Incluso las pequeñas conexiones de red ("última milla") pueden saturarse con grandes volúmenes de tráfico ICMP.
Para protegerse contra los ataques DDoS ICMP Flood, hay varias opciones disponibles:
La medida de protección más común es filtrar específicamente o bloquear completamente el tráfico ICMP en routers o firewalls, al menos desde internet y en interfaces críticas. ICMP no es estrictamente necesario para muchos servicios, sin embargo un bloqueo completo debe considerarse cuidadosamente para evitar restringir innecesariamente aplicaciones legítimas (como herramientas de diagnóstico).
Los firewalls y muchos switches ofrecen la opción de limitar el número de solicitudes ICMP permitidas por segundo por IP de origen. Esto puede mitigar significativamente los ataques DDoS descartando automáticamente el tráfico excesivo. Los sistemas modernos detectan fluctuaciones inusuales y responden con un bloqueo temporal o estrangulamiento.
Monitorear y registrar el tráfico ICMP ayuda a detectar ataques de forma temprana. Los modernos sistemas de monitoreo de red pueden identificar los ICMP Floods basándose en sus patrones inusuales y activar automáticamente contramedidas.
Los proveedores externos de protección DDoS o ISPs ofrecen mecanismos de protección a nivel de red que filtran específicamente los ICMP Floods o inician contramedidas como el blackholing antes de que el tráfico llegue a su propia red.
Tievolu protege específicamente contra ataques ICMP Flood con la potente solución de protección DDoS "Tievolu PYRUS". El tráfico ICMP entrante se analiza continuamente y los patrones inusuales son identificados temprano por algoritmos con IA. En caso de ataque, las reglas de filtrado y limitación de velocidad se activan automáticamente para permitir que el tráfico de red legítimo continúe y bloquear el tráfico malicioso. La defensa se lleva a cabo tanto a nivel de red como de aplicación.
Además, el Tievolu Cloud Firewall ofrece la posibilidad de definir reglas de filtrado ICMP individualmente personalizables. A través de esto, los clientes pueden por ejemplo bloquear las ICMP Echo Requests desde internet, establecer umbrales para ICMP y realizar bloqueos geográficos o ASN específicos. En combinación con otras medidas de defensa DDoS, obtendrá una protección óptima y multicapa contra ataques volumétricos como el ICMP Flood.
