Identificación de respuestas ICMP
Aunque el objetivo original del protocolo ICMP es el de notificar errores y condiciones inusuales (que requieren una especial atención respecto al protocolo IP), es posible poder realizar un uso indebido de este protocolo para obtener huellas identificativas de un sistema remoto.
Comentaremos a continuación algunos ejemplos de cómo obtener estas huellas a partir de las distintas respuestas ofrecidas mediante el tráfico ICMP:
• ICMP echo. Como hemos visto anteriormente, el uso de tráfico ICMP de tipo echo permite la exploración de sistemas activos. Así, con esta exploración se pretende identificar los equipos existentes dentro de la red que se quiere explorar, normalmente accesibles desde internet.
El comando ping puede informar, mediante paquetes ICMP de tipos echo-request y echo-reply, sobre si una determinada dirección IP está o no activa.
El campo TTL, utilizado en este intercambio de paquetes echo de ICMP, suele ser inicializado de forma distinta según el sistema operativo que haya detrás del equipo.
Por otra parte, cuando se envía un paquete ICMP echo-request hacia la dirección de difusión (broadcast), se consigue que con un único paquete enviado todos los equipos respondan con un paquete ICMP de tipo echo-reply.
Esta característica no es propia de todos los sistemas operativos. Así, por ejemplo, puede estar presente en algunas variantes de sistemas operativos Unix, mientras que los sistemas operativos de Microsoft no responden a este tipo de paquetes.Estas dos informaciones, el número de TTL inicial y la respuesta a un ping enviado por difusión, podría ser de utilizado como una primera huella identificativa de los sistemas de la red.
• ICMP timestamp. Mediante la transmisión de un paquete ICMP de tipo times t ampreque s t, si un sistema está activo, se recibirá un paquete de tipo time s tamp- rep l y, indicando si es posible conocer la referencia de tiempo en el sistema de destino.
La decisión de responder o no a estos paquetes depende de la implementación. Algunos sistemas operativos Windows sí responden, mientras que otros no lo hacen. No obstante, la mayoría de los sistemas operativos Unix sí que suelen implementarlo.
Según si los sistemas de la red responden o no ante esta petición, su huella identificativa apuntará a un posible sistema o a otro.
Califica este Artículo
Categoría: Conectividad y Redes.
Deja una respuesta