LAND (atak sieciowy)

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

LAND – rodzaj ataku DDoS, w którym komputer na skutek odebrania odpowiednio spreparowanych pakietów danych wpada w nieskończoną pętlę, co w konsekwencji powoduje unieruchomienie połączenia sieciowego.

Przebieg przykładowego ataku[edytuj | edytuj kod]

Komputery atakującego wysyłają do komputera ofiary po jednym pakiecie TCP i UDP na portach 80, 110, 443 i 628, spreparowanym poprzez ustawienie adresu IP odbiorcy pakietu jako źródło pakietu, często również posiadające flagi SYN i/lub ACK. Komputer ofiary odpowiada na te pakiety na adres źródłowy (nieważne, czy jest to odpowiedź potwierdzająca zawiązanie połączenia, czy sygnalizująca błąd), którym jest adres własny komputera ofiary, co powoduje zawiązanie pętli danych pomiędzy dojściami sieciowymi komputera. Grozi to zupełnym zablokowaniem połączenia sieciowego, wymagającym lokalnego (może zostać zablokowana również łączność wewnętrzna) zrestartowania stanu połączenia, zazwyczaj przez ponowne uruchomienie systemu operacyjnego.

Zapobieganie atakom[edytuj | edytuj kod]

Podstawą profilaktyki jest odpowiednio skonfigurowana zapora osobista, blokująca pakiety o identycznym adresie źródłowym i docelowym. Nie powinno być też wtedy rejestrowane zablokowanie takiego połączenia, chyba, że bez odsyłania stanu do nadawcy. Zastosowanie profilaktyki przed tego typu atakami jest podstawą działania dużych serwisów internetowych, portali aukcyjnych czy stron liczących miliony odwiedzin.

Wbudowane zabezpieczenia systemów klienckich[edytuj | edytuj kod]

Dość często obecnie stosuje się w systemach operacyjnych z serii Windows pseudozabezpieczenie polegające na ograniczaniu liczby maksymalnych półotwartych połączeń TCP. Nie jest to zbyt cenione w fachowym środowisku posunięcie, bowiem pomimo teoretycznego zachowania stabilności rdzenia systemu, dochodzi do przepełniania się buforów TCP/IP, co prowadzi do zablokowania pamięci podręcznej DNS oraz tablic trasowania pobliskich urządzeń koncentracji (mimo, że dotyczy to tylko ostatniego węzła sieci, czyli przełącznika, do którego wpięty został atakowany komputer, łączność na tym segmencie daje się wyraźnie pogorszyć poprzez tzw. kolizje). Ograniczenie liczby połączeń powoduje ponadto odcięcie komputera od sieci na warstwie systemu, co wymaga wyczyszczenia buforów połączenia z poziomu działającego systemu.

Rozwiązania dostarczane przez twórców systemów nie są więc doskonałe, dlatego właśnie w przypadku takich ataków wyjątkowo cennym rozwiązaniem staje się poprawnie ustawiona zapora sieciowa.

Bibliografia[edytuj | edytuj kod]

  • Magazyn Komputerowy NEXT, dział Internet.

Zobacz też[edytuj | edytuj kod]