Возвращение Land dl // 07.03.05 20:55
По сообщению Дежана Леваджи (Dejan Levaja), Windows Server 2003 и XP SP2 с отключенным файрволлом оказались подвержены старому доброму Land. [Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/03/04.html] Идея Land-атаки, первые сведения о которой относятся аж к 97 году, заключается в отправке tcp-пакета с адресами получателя и отправителями, совпадающими с адресом атакуемой машины. В те времена получение всего одного такого пакета приводило к замораживанию атакуемой системы на десятки секунд. В дальнейшем реакция NT на эту атаку была серьезно улучшена, но сейчас, похоже, все вернулось на круги своя.
P.S. Microsoft считает, что данная атака не представляет большой опасности, поскольку не приводит к возможному исполнению удаленного кода, атакованная машина лишь становится "медлительной" на некоторое время, и, наконец, включенный файрволл из SP2 полностью от нее защищает. Так-то оно так, машины стали быстрее, файрволлы от всех этих атак более-менее защищают, но это ж не повод пропускать в реализацию стека давным давно известные ляпы, с таким подходом и до winnuke рукой подать.
P.P.S. Fatal Acid сообщает, что справиться с этой атакой также помогает способ, традиционно использующийся для защиты от SYN flood:
Моя система - win2003, семпрон 2500+ - задумался секунды на 3 от одного пакета
микрософт сильно разочаровывает.. Неужто так сложно было исправить? Это я про
"
Ethic:
Microsoft was informed 7 days ago (25.02.2005, GMT +1, local time), NO answer received,
so I decided to share this info with security community.
"