El ping de la muerte: uno de los primeros ataques de red

El ataque ping de la muerte (en inglés, ping of death attack), uno de los ataques más antiguos de Internet, producía la caída inmediata de los sistemas vu­l­ne­ra­bles. Afo­r­tu­na­da­me­n­te, dejó de tener efecto en la mayoría de los di­s­po­si­ti­vos alrededor del año 1998.

El ataque ping of death utiliza el protocolo de mensajes de control de Internet (ICMP), aunque, en principio, también puede emplear otros pro­to­co­los basados en IP. Puesto que los sistemas modernos están pro­te­gi­dos contra el ping de la muerte, los piratas in­fo­r­má­ti­cos de hoy en día tienden a utilizar, en su lugar, el em­pa­re­n­ta­do ping flood para perpetrar sus ataques.

El ping de la muerte es un tipo de ataque de de­ne­ga­ción de servicio (DoS). Para des­en­ca­de­nar­lo, el atacante envía un paquete de datos malicioso al receptor. Cuando el sistema de destino intenta pro­ce­sar­lo, se genera un error que bloquea el sistema.

Me­ta­fó­ri­ca­me­n­te, el ping de la muerte es co­m­pa­ra­ble a un paquete bomba: cuando la víctima lo abre, el mecanismo se activa y el objetivo resulta dañado o destruido de inmediato. El llamado comando ping, del que recibe su nombre este ataque, se utiliza ge­ne­ra­l­me­n­te para comprobar si un di­s­po­si­ti­vo está di­s­po­ni­ble en la red. En términos técnicos, el comando ping se basa en el protocolo de mensajes de control de Internet (ICMP), que se utiliza para tra­n­s­mi­tir in­fo­r­ma­ción de estado en Internet.

Existen di­fe­re­n­tes modelos de ataque que se engloban bajo el término genérico de ataques de de­ne­ga­ción de servicio: el ping de la muerte, al igual que el SYN flood, pertenece a los ataques de protocolo. Además, están los ataques a la capa de apli­ca­ción, que incluyen en pa­r­ti­cu­lar el HTTP flood, y ataques vo­lu­mé­tri­cos que saturan el objetivo con un flujo masivo de datos, entre los que se incluyen el ping flood, muy re­la­cio­na­do con el ping of death, y el UDP flood, que se ha hecho famoso debido a la he­rra­mie­n­ta Low Orbit Ion Cannon, la llamada estrella de la muerte de la DDoS.

Un paquete Echo ICMP suele tener un tamaño de 56 bytes. Por el contrario, el paquete enviado en un ataque ping of death tiene al menos 65 535 bytes, un tamaño más de mil veces mayor y equi­va­le­n­te al límite por paquete es­ta­ble­ci­do en el su­b­ya­ce­n­te protocolo de Internet (IP).

Para crear el paquete del ping de la muerte, el atacante utiliza el comando ping en la línea de comandos. La clave es un parámetro cuyo valor determina el tamaño del campo de datos ICMP. En los sistemas Windows, la opción se llama -l (del inglés load, es decir, cargar). En otros sistemas, se utiliza la opción -s (del inglés size, es decir, tamaño).

Ping de la muerte en Windows:

Ping de la muerte en Linux/UNIX/macOS:

El ping de la muerte es uno de los ataques más antiguos. Desde que se descubrió, en 1997, se han mo­di­fi­ca­do algunas ca­ra­c­te­rí­s­ti­cas del software de servidor y de los sistemas ope­ra­ti­vos, de manera que siempre se pueda ga­ra­n­ti­zar que no se excede el tamaño máximo de un datagrama al combinar los fra­g­me­n­tos de IP. De forma al­te­r­na­ti­va, utilizar una memoria de búfer más grande puede proteger contra el temido de­s­bo­r­da­mie­n­to. La mayoría de los sistemas modernos son inmunes al ping de la muerte.

Además, los paquetes ma­li­cio­sos ya se filtran al pasar por la red, lo cual se puede hacer a nivel de rúters y co­r­ta­fue­gos o mediante el uso de redes de di­s­tri­bu­ción de co­n­te­ni­dos o CDN (del inglés content delivery network). En cada fragmento IP, se examina el en­ca­be­za­do, que debe incluir la siguiente fórmula: longitud del fragmento + longitud total ≤ 65 535 bytes. Si un fragmento IP no lo cumple, el tamaño total permitido se excede al ensamblar el datagrama y el paquete es entonces de­s­ca­r­ta­do.