LAND (atak sieciowy) : Przebieg przykładowego ataku, Zapobieganie atakom, Wbudowane zabezpieczenia systemów klienckich, Bibliografia Wikipedia, wolna encyklopedia

LAND (atak sieciowy)

LAND – rodzaj ataku DDoS, w którym komputer na skutek odebrania odpowiednio spreparowanych pakietów danych wpada w nieskończoną pętlę, co w konsekwencji powoduje unieruchomienie połączenia sieciowego.

Przebieg przykładowego ataku

Komputery atakującego wysyłają do komputera ofiary po jednym pakiecie TCP i UDP na portach 80, 110, 443 i 628. Pakiety te są spreparowane poprzez ustawienie adresu IP ofiary (czyli odbiorcy pakietu) jako IP źródła pakietu (często również posiadają flagi SYN i/lub ACK.) Komputer ofiary odpowiada na adres źródłowy tych pakietów (nieważne, czy jest to odpowiedź potwierdzająca zawiązanie połączenia, czy sygnalizująca błąd). A ponieważ adresem źródłowym otrzymywanych pakietów jest adres własny komputera ofiary, następuje zawiązanie pętli danych pomiędzy dojściami sieciowymi komputera. Grozi to zupełnym zablokowaniem połączenia sieciowego, wymagającym lokalnego (może zostać zablokowana również łączność wewnętrzna) zrestartowania stanu połączenia, zazwyczaj przez ponowne uruchomienie systemu operacyjnego.

Zapobieganie atakom

Podstawą profilaktyki jest odpowiednio skonfigurowana zapora osobista, blokująca pakiety o identycznym adresie źródłowym i docelowym. Nie powinno być też wtedy rejestrowane zablokowanie takiego połączenia, chyba że bez odsyłania stanu do nadawcy. Zastosowanie profilaktyki przed tego typu atakami jest podstawą działania dużych serwisów internetowych, portali aukcyjnych czy stron liczących miliony odwiedzin.

Wbudowane zabezpieczenia systemów klienckich

Dość często obecnie stosuje się w systemach operacyjnych z serii Windows pseudozabezpieczenie polegające na ograniczaniu liczby maksymalnych półotwartych połączeń TCP. Nie jest to zbyt cenione w fachowym środowisku posunięcie, bowiem pomimo teoretycznego zachowania stabilności rdzenia systemu, dochodzi do przepełniania się buforów TCP/IP, co prowadzi do zablokowania pamięci podręcznej DNS oraz tablic trasowania pobliskich urządzeń koncentracji (mimo że dotyczy to tylko ostatniego węzła sieci, czyli przełącznika, do którego wpięty został atakowany komputer, łączność na tym segmencie daje się wyraźnie pogorszyć poprzez tzw. kolizje). Ograniczenie liczby połączeń powoduje ponadto odcięcie komputera od sieci na warstwie systemu, co wymaga wyczyszczenia buforów połączenia z poziomu działającego systemu.

Rozwiązania dostarczane przez twórców systemów nie są więc doskonałe, dlatego właśnie w przypadku takich ataków wyjątkowo cennym rozwiązaniem staje się poprawnie ustawiona zapora sieciowa.