¿Es 127.0.0.1 la única dirección de loopback?
Respuesta breve
No. Todo el rango 127.0.0.0/8 está reservado para loopback, así que 127.0.0.2, 127.1.1.1, etc., resuelven todas al host local. Importa para el SSRF y el bypass de listas de permitidos — un atacante puede usar 127.0.0.2 u otras codificaciones para esquivar un control ingenuo de «bloquear 127.0.0.1» — y para enlazar varios servicios locales. (En IPv6, el loopback es la única dirección ::1.)
Casi todo el mundo teclea 127.0.0.1 tan a menudo que supone que es la única dirección de loopback. No lo es, y esa suposición es justo el tipo de hueco que convierte un filtro SSRF débil en una vulnerabilidad real.
Todo el /8 hace loopback
La RFC 1122 reserva el bloque 127.0.0.0/8 entero — cada dirección de 127.0.0.1 a 127.255.255.254 — para loopback. Así que 127.0.0.2, 127.1.1.1 y 127.42.42.42 envían todas el tráfico directamente de vuelta al host local sin tocar jamás el cable. El kernel nunca enruta 127.x fuera de la máquina. Eso son aproximadamente 16 millones de direcciones de loopback, no una.
Por qué le importa a un pentester
Es un clásico del trabajo de SSRF y bypass de listas de permitidos. Una defensa ingenua que solo bloquea la cadena literal 127.0.0.1 (o localhost) se elude con facilidad: un atacante alcanza los mismos servicios locales vía 127.0.0.2, o vía codificaciones alternativas de 127.0.0.1 — el decimal 2130706433, el octal 0177.0.0.1, el hexadecimal 0x7f.0.0.1, la forma con ceros, o incluso nombres DNS que resuelven a una dirección 127.x. La mitigación correcta resuelve el host y comprueba si la IP resuelta cae dentro de rangos reservados, en lugar de una comparación de cadena.
También usos prácticos
El amplio rango es realmente útil: puedes enlazar muchos servicios locales a direcciones de loopback distintas (p. ej. 127.0.0.2:80 y 127.0.0.3:80) para evitar colisiones de puertos durante el desarrollo.
El contraste con IPv6
IPv6 es más estricto: el loopback es la única dirección ::1 (el /128 ::1/128), sin equivalente del gigantesco bloque 127/8. Mencionarlo demuestra amplitud.
Por qué tientan los distractores
«Cualquier otra 127.x es pública» y «el resto es multicast» reafirman ambos el mito de la dirección única con detalles inventados. «El loopback es en realidad 0.0.0.0» confunde la dirección no especificada / «todas las interfaces» con el loopback.
Qué buscan los entrevistadores
Un «no — todo 127.0.0.0/8» claro, e idealmente el remate de seguridad: nunca bloquees una sola dirección literal de loopback; resuelve y comprueba el rango en su lugar.
Posibles preguntas de seguimiento
- Muéstrame tres formas de escribir «127.0.0.1» que derroten una lista de bloqueo por cadena ingenua.
- ¿Por qué bloquear solo «127.0.0.1» es insuficiente para detener un SSRF hacia localhost?
- ¿Cuál es el loopback de IPv6, y cómo se compara su tamaño con 127.0.0.0/8?