UDP vs ICMP vs TCP Traceroute: Cuándo Usar Cada Protocolo
Compara los tres protocolos de traceroute y aprende cuándo usar ICMP, UDP o TCP para diagnósticos de red.
Por qué importa el protocolo
Cuando ejecutas un traceroute, la herramienta necesita enviar paquetes de sondeo a la red y confiar en que los enrutadores envíen mensajes de error de vuelta. Pero no todos los enrutadores tratan todos los tipos de paquetes por igual. Los firewalls, limitadores de tasa y políticas de seguridad pueden bloquear ciertos protocolos mientras permiten otros. Elegir el protocolo correcto puede significar la diferencia entre un trazo completo y una pared de * * * timeouts.
Los tres protocolos disponibles en la mayoría de las implementaciones de traceroute son UDP, ICMP y TCP. Cada uno tiene ventajas distintas dependiendo de tu entorno de red.
Traceroute UDP
Cómo Funciona
El traceroute UDP envía datagramas UDP a números de puerto progresivamente más altos, comenzando en el puerto 33434 por defecto. Cada sondeo tiene un valor TTL creciente. Cuando el TTL expira en un enrutador intermedio, el enrutador envía de vuelta un mensaje ICMP Time Exceeded. Cuando el sondeo llega al destino, el destino responde con un mensaje ICMP Port Unreachable (porque ningún servicio está escuchando en ese puerto), señalando el final del trazo.
Pros y Contras
- Por defecto en Linux y macOS — no se necesitan banderas especiales.
- No requiere privilegios de root/admin en la mayoría de los sistemas (los sockets UDP no tienen privilegios).
- Bloqueado por muchos firewalls — las redes empresariales y los proveedores de nube a menudo restringen el UDP saliente a puertos desconocidos.
- Filtrado basado en puertos puede causar resultados inconsistentes cuando diferentes firewalls a lo largo del camino tienen diferentes reglas.
Mejor Para
Diagnósticos de propósito general en Linux/macOS cuando tienes un camino de red relativamente abierto. Funciona bien para trazar a servidores que controlas o a infraestructura importante de internet.
Traceroute ICMP
Cómo Funciona
El traceroute ICMP envía paquetes ICMP Echo Request (el mismo tipo usado por ping) con valores TTL crecientes. Los enrutadores intermedios devuelven mensajes ICMP Time Exceeded como de costumbre. Cuando el paquete llega al destino, responde con un ICMP Echo Reply — la misma respuesta que obtienes de ping.
Pros y Contras
- Por defecto en Windows (
tracertusa ICMP). - Universalmente entendido — casi todos los enrutadores pueden generar ICMP Time Exceeded.
- A menudo limitado por tasa — muchos enrutadores depriorizan el procesamiento de ICMP, lo que lleva a valores RTT artificialmente inflados o respuestas perdidas.
- Requiere root/admin en Linux — se necesitan sockets en bruto para crear paquetes ICMP.
- Bloqueado en algunos entornos de seguridad reforzada — algunas redes eliminan todo ICMP en el perímetro.
Mejor Para
Pruebas rápidas desde máquinas Windows, o cuando el traceroute UDP devuelve demasiados timeouts. También útil cuando deseas probar específicamente la accesibilidad ICMP (por ejemplo, verificando que ping funcionará de extremo a extremo).
Traceroute TCP
Cómo Funciona
El traceroute TCP envía paquetes TCP SYN (el primer paso del apretón de manos de tres vías de TCP) a un puerto específico — generalmente puerto 80 (HTTP) o puerto 443 (HTTPS). Los enrutadores intermedios aún devuelven ICMP Time Exceeded para TTLs expirados. Cuando el SYN llega al destino, responde con un SYN/ACK (puerto abierto) o un RST (puerto cerrado), completando el trazo.
Pros y Contras
- Penetra la mayoría de los firewalls — los puertos 80 y 443 son casi universalmente permitidos a través de firewalls, NATs y grupos de seguridad.
- Mejor para trazar a servidores web — el sondeo se parece a un intento normal de conexión web.
- Requiere root/admin — crear paquetes TCP SYN en bruto requiere privilegios elevados.
- Puede activar alertas IDS/IPS — paquetes SYN rápidos al mismo puerto pueden parecer un escaneo SYN.
Mejor Para
Redes corporativas, entornos de nube (AWS, GCP, Azure), y cualquier situación donde UDP e ICMP estén siendo filtrados. Si estás solucionando problemas de conectividad a una aplicación web y otros modos devuelven resultados incompletos, el modo TCP es tu mejor opción.
Tabla de Comparación
| Característica | UDP | ICMP | TCP |
|---|---|---|---|
| Sistema operativo por defecto | Linux, macOS | Windows | Ninguno (bandera explícita) |
| Requiere root/admin | No | Sí (Linux) | Sí |
| Penetración de firewall | Bajo | Medio | Alto |
| Puerto de destino | 33434+ | N/A | 80 o 443 |
| Señal de fin de trazo | ICMP Port Unreachable | ICMP Echo Reply | SYN/ACK o RST |
| Riesgo de limitación de tasa | Bajo | Alto | Bajo |
| Bandera CLI | -U (por defecto) | -I | -T |
Escenarios del Mundo Real
Oficina Corporativa Detrás de un Firewall Estricto
Tu firewall corporativo bloquea todo el UDP saliente excepto DNS (puerto 53) y todo ICMP excepto ping a la puerta de enlace. Usa modo TCP en el puerto 443. Los paquetes SYN parecen intentos de conexión HTTPS y pasan sin problemas.
Depuración de ISP para Latencia en Juegos
Quieres trazar el camino a un servidor de juego. Comienza con UDP (el predeterminado). Si ves timeouts a mitad de camino, cambia a ICMP. Los servidores de juego a menudo funcionan en puertos no estándar, por lo que TCP al puerto 80 puede no llegar al servidor de juego real — pero aún revelará el camino de red y la latencia al host.
Infraestructura en la Nube (AWS, GCP)
Los grupos de seguridad en la nube generalmente bloquean el UDP entrante en puertos altos y pueden filtrar ICMP. Usa TCP en el puerto 443 para trazar a través de VPCs, balanceadores de carga y gateways NAT de manera confiable.
Solución de Problemas de ISP Residencial
ICMP generalmente funciona bien desde conexiones domésticas. Es el más simple de interpretar ya que tanto las respuestas intermedias como finales utilizan ICMP. Si tu ISP limita la tasa de ICMP, verás latencia inflada en sus saltos — cambia a UDP para obtener mediciones RTT más precisas.
Recomendaciones Prácticas
- Comienza con el predeterminado (UDP en Linux/macOS, ICMP en Windows).
- Si ves muchos timeouts, cambia a modo TCP apuntando al puerto 443.
- Ejecuta el trazo con múltiples protocolos y compara — las diferencias revelan dónde está ocurriendo el filtrado.
- Documenta el protocolo utilizado al compartir resultados con tu ISP o proveedor de hosting, ya que los resultados varían según el protocolo.
Prueba los Tres Protocolos con TraceMapper
TraceMapper te permite cambiar entre UDP, ICMP y TCP con un solo clic — no se requiere conocimiento de línea de comandos. Los resultados se trazan en un mapa interactivo con información ASN, codificación de color de latencia y trazado de múltiples fuentes desde diferentes ubicaciones geográficas.
Ejecuta un traceroute gratuito ahora y ve cómo diferentes protocolos producen diferentes resultados para tu objetivo. Para más herramientas de diagnóstico de red, explora nuestras herramientas de Ping, Búsqueda de DNS y Verificación de Puertos.