Prevención de tramas gigantes ICMP en los switches gestionados serie SG200/300

Objetivo

El objetivo de este artículo es explicar por qué los switches de las series SG200 y SG300 evitan algunas de las tramas jumbo ICMP y permiten que otras tramas jumbo pasen por el switch. Este artículo muestra algunos de los problemas que se deben a las tramas jumbo ICMP. El artículo también explica qué es un ataque de denegación de servicio (DoS) y cómo se relaciona con tramas gigantes ICMP.

Dispositivos aplicables

· SG200
· SG300

Tramas gigantes ICMP sobre el switch

A continuación se explica qué son las tramas jumbo y por qué no se permiten las tramas jumbo ICMP en los switches de las series SG200 y SG300.

Tramas gigantes

El switch Gigabit Ethernet (series SG200 y SG300) y el switch Fast Ethernet (switches serie SF200) admiten tramas gigantes. Las tramas Jumbo son tramas Ethernet extendidas que varían en tamaño desde los 1.518 bytes estándar hasta los 9.000 bytes. Por lo tanto, las tramas jumbo aumentan la velocidad de transferencia de datos al transportar más datos por trama, reduciendo la sobrecarga de los encabezados.

Internet Control Message Protocol (ICMP)

ICMP es un protocolo de capa de red que es una parte del conjunto de protocolos de Internet que genera mensajes ICMP en respuesta a errores en el datagrama IP o con fines de diagnóstico o ruteo. Los errores ICMP siempre se notifican a la dirección IP de origen original del datagrama de origen. Aunque este protocolo es muy importante para garantizar una distribución de datos correcta, los usuarios malintencionados pueden aprovecharlo para llevar a cabo diferentes ataques de denegación de servicio (DoS).

Los ataques de DoS hacen que los recursos de la red y del servidor no estén disponibles o no respondan a los usuarios legítimos a través de la inundación de redes con tráfico falso. Los ataques de DoS por fuerza bruta consumen el ancho de banda del servidor y de la red al inundar el servidor con un tráfico abrumador. Los siguientes son tipos comunes de ataques DoS que utilizan ICMP.

· ICMP Ping Flood Attack: en un ataque ICMP Ping Flood, el ataque envía una gran cantidad de paquetes de ping al sistema de destino, normalmente mediante el uso del comando ping del host. De esta manera, el sistema atacado no puede responder al tráfico legítimo.

· ICMP Smurf Attack: un ICMP Smurf Attack inunda la máquina víctima con paquetes ping falsificados. Se trata de paquetes modificados que contienen una dirección IP falsa de la víctima objetivo. Esto provoca una difusión de la información errónea a todos los hosts de la red local. Todos estos hosts responden con una respuesta al sistema de destino, que luego se satura con esas respuestas.Si hay muchos hosts en redes usadas, la víctima será efectivamente simulada por una gran cantidad de tráfico.

Nota: La suplantación de IP hace referencia a un paquete IP con una dirección IP de origen falsificada, con el propósito de ocultar la información del remitente.

· Ping de la muerte: en un ataque de ping de la muerte, el atacante envía a la víctima un paquete de solicitud de eco ICMP mayor que el tamaño máximo del paquete IP de 65.536 bytes. Dado que el paquete de solicitud de eco ICMP recibido es mayor que el tamaño normal del paquete IP, debe fragmentarse. Como resultado de esto, la víctima no puede reensamblar los paquetes, por lo que el sistema operativo se bloquea o se reinicia.

· Ataque Nuke ICMP: en este tipo de ataque, las armas nucleares se envían a la víctima a través de un paquete ICMP con mensajes de destino inalcanzable de tipo 3. El resultado de este ataque es que el sistema objetivo interrumpe las comunicaciones con las conexiones existentes.

En los switches de las series SG200 y SG300, la prevención de denegación de servicio permite a los administradores de red configurar el bloqueo de ciertos paquetes ICMP. De forma predeterminada, algunas de las tramas gigantes de ICMP están bloqueadas porque muchos ataques de red, como DoS, utilizan ICMP, por lo que, por motivos de seguridad, los firewalls de estos switches bloquean las tramas gigantes de ICMP. Esto provoca la fragmentación necesaria de ICMP y el mensaje DF set no llega al remitente. El remitente, por lo tanto, no obtiene ninguna información para enviar sus paquetes a un tamaño menor, ni tampoco obtiene una confirmación de TCP de que sus paquetes fueron exitosos. Posteriormente, el remitente reenvía continuamente la trama al mismo tamaño grande, pero nunca llega al destino, lo que resulta en una condición conocida como "agujero negro".

Utilice la utilidad de configuración web para configurar tramas jumbo, elija Administración de puertos > Configuración de puertos y elija Seguridad > Prevención de denegación de servicio > Configuración de Security Suite para configurar la prevención de DoS.