UNIVERSIDAD DE GUAYAQUIL

Diseo e Implementacin
de Seguridades
Miguel Barrera
Henry Pinargote
Arturo Rios
Sergio Alay
Curso: N7K
PIN G
de la
 u e r te
de l a m
Ping e a
ipo d nsiste
taque
u n t
u e r te es r a q ue co MP
l a m ta d o s I C
p in g de c o m pu
p a q u ete
y t es)
Un oau
n a
roso s .535
b
v ia d n u m e a 6 5 a do.
en ar r e s ta c
n m and s ( m ayo
s i s t e ma a
e ado r el
muy
p e s
e col a p sa
Ping flo
con e
l f in d
o d
Un pin
gf
lenta c lood, consist
on un e en sa
suficie nmer tu
ntemen o de p rar una lnea
te gra a
causar
una nde. E quetes ICMP
import sta sa
ante. E degradacin turaci
n
l a s de f l del se
inicion ataque en c
p r ot oc es de uestin rvicio
olos a la long utiliza
fragme s c itud m
ntacin omo xima
de los d l a capacid de
atagram a d de
as IP.
 P e s e l que se
r o t o c olo ICM n i c a cin
El p a la com u
il iz a p a r n t r ol de
u t c o
e n s aj e s de nes.
de m n i c ac i o
e n la s comu
fluj o

ro t o co l
s sa g e P
t r o l Me
ne t C o n
In t e r l d e I n t e r ne t
s d e C ontro n t r ol y
s a je c o
c o lo d e M en o t oc o lo de t e r net
r o t o p r e In
El P e s e l sub l P r o t ocolo d es de
I C M P r e s d e m e n sa j
o
c i n d e er r o a r a e nviar e r v ic io
i f ic a sa p n s
not
m o t a l, se u m p l o que u u te r o
I P ) . C o p o r e je e u n r o
(
, i n d i c ando s p o n i ble o qu
error o n o e st di
na d do.
determi ede ser localiza
pu
host no
La utilidad del protocolo ICMP es
controlar si un paquete no puede
alcanzar su destino, si su vida ha
expirado, etc. Es decir, se usa para
manejar mensajes de error y de
control necesarios para los sistemas
de la red, informando con ellos a la
fuente original para que evite o corrija
el problema detectado.
 S A JE S
MEN S
A T I V O o 8)
INFORM
O ( t i p
i c i n de EC s t a s de
p e t u e
jes de y resp
lo s m e n s a
e t ic i o n e s
u n ic acin
a n t e s son
o 0 ) . Las p t e u n a com se rvir
o r t t ip e x i s d e n
s m s imp t a d e Eco ( p r o b ar si u e n o s pu e c a pas
L o e s o m o q l a s
s d e respu d e s p ara c r e d , por l r i fi c a n si red
yl o e n r e a p a d e q u e v e e d ) y
c o s e usan n i v e l de c n iv e l , ya j e t a de r cin.
e h os t a n e s t e s ( t a r f i g u r a
entre d
os
r f a llos e d e dato t a d o y con
ntific a enla c e u en e s
ra i de , d e n e n b
pa
(c ab leado) e encuentra
fsica
(config
u ra c i n I P) s MENSAJES
DE ERROR
Este tipo de
mensajes se
datagrama a generan cua
llegado a ce ndo el tiemp
hacia el hos r o mientras se o de vida de
t destino (c encontraba l
destino, el digo=0), o po e n trnsito
tiempo de rque, habien
fragmentos reensambla do llegado a
expira ante do de los l
(cdigo=1). s de que llegu d iferentes
en todos lo
s necesario
s
Analizaren tiempo real todos los paquetes.
Aspirarel trfico entrante de su servidor.
Mitigar, es decir, identificar todos los
paquetes IP ilegtimos, dejando pasar los
paquetes IP legtimos.
 ESTRATEGIAS

Ancho de banda: Ataque que consiste en saturar la

capacidad de la red del servidor, haciendo que sea
imposible llegar a l.
Recursos: Ataque que consiste en agotar los recursos del
sistema de la mquina, impidiendo que esta pueda
responder a las peticiones legtimas.
Explotacin de fallos de software: Categora de ataque
que explota fallos en el software que inhabilitan el
equipo o toman su control.
 O S
T R
ME
RA
PA
La siguiente tabla muestra los caracteres de salida posible de la instalacin de
ping:
Character
Description Descripcin
Personaje

Cada signo de exclamacin indica la recepcin de una

!!
respuesta.

Cada punto indica el servidor de red agotado el tiempo

..
esperando una respuesta.

UU Una PDU destino inalcanzable de error fue recibido.

QQ Apagar el origen (destino muy ocupado).

MM No se puede fragmentar.
?? Tipo de paquete desconocido.

&Y Curso de la vida de paquetes superado.

Opcin Uso
-t Hace el ping al host hasta que se detiene.
-a Resolver direcciones en nombres de host.

-n cuenta Nmero de solicitudes de eco por enviar. El valor predeterminado es 4.

-l tamao Enviar tamao del bfer.

-f Establecer marca No fragmentar en paquetes (solo ipv4)

-i TTL Tiempo de vida
-v TOS Tipo de servicio (slo en IPv4. Esta opcin qued obsoleto y no tiene ningn
efecto sobre el campo de tipo de servicio del encabezado IP).
-r cuenta Registrar la ruta de saltos de cuenta (slo en IPv4).
-s cuenta Marca de tiempo de saltos de cuenta (slo en IPv4).
-k lista-host Ruta de origen estricta para lista-host (slo en IPv4).
-w tiempo_espera Permite ajustar el tiempo de espera (en milisegundos) para esperar cada
respuesta. El valor predeterminado es 1.000 (tiempo de espera de un 1
segundo).
-R Usar encabezado de enrutamiento para probar tambin la ruta inversa (slo
en IPv6).
-j lista-host Ruta de origen no estricta para lista-host (slo en IPv4).
-S srcaddr Direccin de origen que se desea usar (slo en IPv6).
-4 Forzar el uso de IPv4
-6 Forzar el uso de IPv6.
Cmo evitar el "ping de la muerte" en Linux

BLOQUEO DEL PROTOCOLO ICMP

Linux
kernel, llamado icmp_echo_ignore_all.
Esto se consigue aadiendo esta lnea al parmetro /etc/sysctl.conf.

net.ipv4.icmp_echo_ignore_all=1

En vez de modificar el kernel, podemos optar por crear un cortafuegos

modificar el ya existente para que bloquee todo el trfico entrante ICMP
lo cual se resumira un una pequea lnea de iptables.

iptables -A INPUT -p -j DROP

Esta medida hara que el servidor estuviese seguro y, al mismo tiempo, poco restrictivo, lo cual
se lograra aadiendo estas dos lneas a nuestro cortafuegos.

iptables -A INPUT -p icmp -m icmp -m limit --limit 1/second -j ACCEPT

iptables -A INPUT -p icmp -j DROP