LAND (atak sieciowy)

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacja, szukaj

LAND – rodzaj ataku DDoS, w którym komputer na skutek odebrania odpowiednio spreparowanych pakietów danych wpada w nieskończoną pętlę, co w konsekwencji powoduje unieruchomienie połączenia sieciowego.

Przebieg przykładowego ataku[edytuj | edytuj kod]

Komputery atakującego wysyłają do komputera ofiary po jednym pakiecie TCP i UDP na portach 80, 110, 443 i 628. Pakiety te są spreparowane poprzez ustawienie adresu IP ofiary (czyli odbiorcy pakietu) jako IP źródła pakietu (często również posiadają flagi SYN i/lub ACK.) Komputer ofiary odpowiada na adres źródłowy tych pakietów (nieważne, czy jest to odpowiedź potwierdzająca zawiązanie połączenia, czy sygnalizująca błąd). A ponieważ adresem źródłowym otrzymywanych pakietów jest adres własny komputera ofiary, następuje zawiązanie pętli danych pomiędzy dojściami sieciowymi komputera. Grozi to zupełnym zablokowaniem połączenia sieciowego, wymagającym lokalnego (może zostać zablokowana również łączność wewnętrzna) zrestartowania stanu połączenia, zazwyczaj przez ponowne uruchomienie systemu operacyjnego.

Zapobieganie atakom[edytuj | edytuj kod]

Podstawą profilaktyki jest odpowiednio skonfigurowana zapora osobista, blokująca pakiety o identycznym adresie źródłowym i docelowym. Nie powinno być też wtedy rejestrowane zablokowanie takiego połączenia, chyba, że bez odsyłania stanu do nadawcy. Zastosowanie profilaktyki przed tego typu atakami jest podstawą działania dużych serwisów internetowych, portali aukcyjnych czy stron liczących miliony odwiedzin.

Wbudowane zabezpieczenia systemów klienckich[edytuj | edytuj kod]

Dość często obecnie stosuje się w systemach operacyjnych z serii Windows pseudozabezpieczenie polegające na ograniczaniu liczby maksymalnych półotwartych połączeń TCP. Nie jest to zbyt cenione w fachowym środowisku posunięcie, bowiem pomimo teoretycznego zachowania stabilności rdzenia systemu, dochodzi do przepełniania się buforów TCP/IP, co prowadzi do zablokowania pamięci podręcznej DNS oraz tablic trasowania pobliskich urządzeń koncentracji (mimo, że dotyczy to tylko ostatniego węzła sieci, czyli przełącznika, do którego wpięty został atakowany komputer, łączność na tym segmencie daje się wyraźnie pogorszyć poprzez tzw. kolizje). Ograniczenie liczby połączeń powoduje ponadto odcięcie komputera od sieci na warstwie systemu, co wymaga wyczyszczenia buforów połączenia z poziomu działającego systemu.

Rozwiązania dostarczane przez twórców systemów nie są więc doskonałe, dlatego właśnie w przypadku takich ataków wyjątkowo cennym rozwiązaniem staje się poprawnie ustawiona zapora sieciowa.

Bibliografia[edytuj | edytuj kod]

  • Magazyn Komputerowy NEXT, dział Internet.

Zobacz też[edytuj | edytuj kod]