Un túnel ICMP [1] establece una conexión encubierta entre dos computadoras remotas (un cliente y un proxy), utilizando solicitudes de eco ICMP y paquetes de respuesta. Un ejemplo de esta técnica es canalizar el tráfico TCP completo a través de solicitudes y respuestas de ping.
El túnel ICMP funciona inyectando datos arbitrarios en un paquete de eco enviado a una computadora remota. La computadora remota responde de la misma manera, inyectando una respuesta en otro paquete ICMP y enviándolo de regreso. El cliente realiza todas las comunicaciones mediante paquetes de solicitud de eco ICMP, mientras que el proxy utiliza paquetes de respuesta de eco.
En teoría, es posible que el proxy utilice paquetes de solicitud de eco (lo que facilita mucho la implementación), pero estos paquetes no necesariamente se reenvían al cliente, ya que el cliente podría estar detrás de una dirección traducida ( NAT ). Este flujo de datos bidireccional se puede abstraer con una línea serie ordinaria.
La creación de túneles ICMP es posible porque RFC 792, que define la estructura de los paquetes ICMP, permite una longitud de datos arbitraria para cualquier paquete ICMP de tipo 0 (respuesta de eco) u 8 (mensaje de eco).
El túnel ICMP se puede utilizar para eludir las reglas de los firewalls mediante la ofuscación del tráfico real. Dependiendo de la implementación del software de túnel ICMP, este tipo de conexión también se puede clasificar como un canal de comunicación cifrado entre dos computadoras. Sin una inspección profunda de paquetes o una revisión de registros adecuada, los administradores de red no podrán detectar este tipo de tráfico a través de su red. [2]
Una forma de evitar este tipo de túnel es bloquear el tráfico ICMP, a costa de perder algunas funciones de la red que la gente suele dar por sentada (por ejemplo, puede llevar decenas de segundos determinar que un interlocutor está fuera de línea, en lugar de hacerlo casi instantáneamente). Otro método para mitigar este tipo de ataque es permitir únicamente paquetes ICMP de tamaño fijo a través de firewalls, lo que puede impedir o eliminar este tipo de comportamiento. [3]
Los túneles ICMP se utilizan a veces para eludir los cortafuegos que bloquean el tráfico entre la LAN y el mundo exterior. Por ejemplo, mediante servicios comerciales de Wi-Fi que requieren que el usuario pague por el uso, o una biblioteca que requiere que el usuario inicie sesión primero en un portal web. Si el operador de red asumió erróneamente que basta con bloquear sólo los protocolos de transporte normales como TCP y UDP , pero no los protocolos centrales como ICMP, entonces a veces es posible utilizar un túnel ICMP para acceder a Internet a pesar de no haber sido autorizado para acceder a la red. El cifrado y las reglas por usuario que no permiten a los usuarios intercambiar paquetes ICMP (y todos los demás tipos de paquetes, tal vez mediante el uso de IEEE 802.1X ) con pares externos antes de que la autorización resuelva este problema.