Возвращение Land
dl // 07.03.05 20:55
По сообщению Дежана Леваджи (Dejan Levaja), Windows Server 2003 и XP SP2 с отключенным файрволлом оказались подвержены старому доброму Land.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2005/03/04.html]
Идея Land-атаки, первые сведения о которой относятся аж к 97 году, заключается в отправке tcp-пакета с адресами получателя и отправителями, совпадающими с адресом атакуемой машины. В те времена получение всего одного такого пакета приводило к замораживанию атакуемой системы на десятки секунд. В дальнейшем реакция NT на эту атаку была серьезно улучшена, но сейчас, похоже, все вернулось на круги своя.
P.S. Microsoft считает, что данная атака не представляет большой опасности, поскольку не приводит к возможному исполнению удаленного кода, атакованная машина лишь становится "медлительной" на некоторое время, и, наконец, включенный файрволл из SP2 полностью от нее защищает. Так-то оно так, машины стали быстрее, файрволлы от всех этих атак более-менее защищают, но это ж не повод пропускать в реализацию стека давным давно известные ляпы, с таким подходом и до winnuke рукой подать.
P.P.S. Fatal Acid сообщает, что справиться с этой атакой также помогает способ, традиционно использующийся для защиты от SYN flood:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"TcpMaxHalfOpen"=dword:00000064
"TcpMaxHalfOpenRetried"=dword:00000050
"SynAttackProtect"=dword:00000002
