ICMP
¿Qué es ICMP?
ICMPProtocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino.
El Internet Control Message Protocol forma parte integral de IP, definido en la RFC 792 para IPv4 y en la RFC 4443 para IPv6. Routers y hosts finales lo usan para enviar mensajes de error (destino inalcanzable, tiempo excedido, fragmentación necesaria) y consultas diagnósticas (echo request/reply, usadas por ping y traceroute). ICMP viaja directamente sobre IP con número de protocolo 1 (o 58 para ICMPv6) y no tiene puertos.
Es esencial para el Path MTU Discovery (RFC 1191) y el Neighbor Discovery de IPv6, por lo que bloquear ICMP en bloque crea con frecuencia "agujeros negros de PMTU" en los que los paquetes grandes desaparecen silenciosamente. Los abusos históricos están bien documentados: el Smurf attack (aviso CERT CA-1998-01) suplantaba la dirección de la víctima como origen de solicitudes echo enviadas a una dirección de broadcast, amplificando la inundación; el Ping of Death colapsaba las pilas TCP/IP de finales de los años 90 con paquetes echo reensamblados que superaban los 65.535 bytes; y la herramienta Loki (números 49 y 51 de Phrack, 1996-97) fue pionera en el tunneling ICMP, ocultando una shell encubierta en las cargas útiles echo. Los mensajes ICMP redirect también pueden falsificarse para envenenar la tabla de rutas de un host.
Las defensas incluyen limitar la tasa de ICMP en lugar de descartarlo, permitir los tipos 3 y 4 más todos los mensajes obligatorios de Neighbor Discovery de ICMPv6 (recomendaciones de la RFC 4890), ignorar los ICMP redirect en hosts reforzados e inspeccionar las cargas útiles echo en soluciones NDR/EDR en busca de tunneling.
flowchart LR A[Host: ping] -->|Echo Request type 8| R[Router] R --> B[Target host] B -->|Echo Reply type 0| A R -.->|Time Exceeded type 11| A R -.->|Dest Unreachable type 3| A X[Attacker] -.->|Forged Redirect type 5| A
● Ejemplos
- 01
ping example.com envía solicitudes echo ICMP y mide el tiempo en recibir las respuestas.
- 02
Un router devuelve ICMP type 3 code 4 para indicar que se requiere fragmentación pero el bit DF está activo.
● Preguntas frecuentes
¿Qué es ICMP?
Protocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa ICMP?
Protocolo de control y diagnóstico de capa de red (RFC 792 para IPv4 y RFC 4443 para IPv6) usado por hosts y routers para notificar errores y señalar condiciones del camino.
¿Cómo defenderse de ICMP?
Las defensas contra ICMP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para ICMP?
Nombres alternativos comunes: Protocolo de mensajes de control de Internet.