Атака отказа в локальной сети (LAND) — это тип атаки типа «отказ в обслуживании» (DOS), при которой злоумышленник атакует сеть, устанавливая одинаковые IP-адреса и порты источника и назначения сегмента TCP. Атака Land завершается успешно, заставляя компьютер отвечать самому себе, так что целевой хост отправляет ответ; Пакет SYN-ACK сам себе до тех пор, пока машина не выйдет из строя или не зависнет из-за многократной обработки пакета стеком TCP.
Это приводит к установлению пустой ссылки, которая остается, пока не достигнет значения тайм-аута неактивности. Наполнение сервера такими пустыми соединениями вызовет состояние отказа в обслуживании (DoS), которое приведет к атаке LAND. В статье представлен краткий обзор атаки LAND, ее цели и способов ее предотвращения при своевременном обнаружении.
Background
Атака LAND направлена на то, чтобы сделать устройство непригодным для использования или замедлить его работу за счет перегрузки ресурсов системы, чтобы авторизованные пользователи не могли его использовать. В большинстве случаев целью этих атак является нацеливание на конкретного пользователя, чтобы ограничить его доступ от исходящих сетевых подключений. Наземные атаки также могут быть нацелены на все предприятие, что предотвращает попадание исходящего трафика в сеть и ограничивает входящий трафик.
Наземные атаки сравнительно проще осуществить, чем получение удаленного административного доступа к целевому устройству. По этой причине такие виды атак популярны в Интернете. Они могут быть как преднамеренными, так и непреднамеренными. Одна из основных причин атак LAND — это неавторизованный пользователь, умышленно перегружающий ресурс, или когда авторизованный пользователь делает что-то непреднамеренно, что делает сервисы недоступными. Эти виды атак в первую очередь зависят от недостатков сетевых протоколов TCP / IP.
Detailed LAND Attack Description
В этом разделе подробно описан пример проведения LAND-атаки. Для этого настройте порт мониторинга коммутатора, а затем сгенерируйте трафик атаки с помощью инструмента построения IP-пакетов. Рассмотрим сеть, которая соединяет три хоста: один представляет хост атаки, один — хост-жертву, а третий подключен к порту SPAN, то есть порту мониторинга для отслеживания сетевого трафика, совместно используемого двумя другими хостами. Предположим, что IP-адреса хостов A, B и C — 192.168.2, 192.168.2.4 и 192.168.2.6 соответственно.
Чтобы настроить порт мониторинга коммутатора или порт SPAN, прежде всего, подключите хост к консольному порту на коммутаторе. Теперь введите эти команды в терминале хостов:
Каждый поставщик коммутатора определяет собственную серию шагов и команд для настройки порта SPAN. Для дальнейшего развития мы будем использовать коммутатор Cisco в качестве примера. Вышеупомянутые команды информируют коммутатор о необходимости отслеживать входящий и исходящий сетевой трафик, совместно используемый двумя другими хостами, а затем отправляет их копию хосту 3.
После настройки коммутатора сгенерируйте трафик наземной атаки. Используйте IP-адрес целевого хоста и открытый порт в качестве источника и назначения для создания поддельного пакета TCP SYN. Это можно сделать с помощью утилиты командной строки с открытым исходным кодом, такой как генератор пакетов FrameIP или Engage Packet Builder.
На скриншоте выше показано создание поддельного пакета TCP SYN для использования в атаке. Сгенерированный пакет имеет одинаковый IP-адрес и номер порта как для источника, так и для пункта назначения. Более того, MAC-адрес назначения совпадает с MAC-адресом целевого хоста B.
После создания пакета TCP SYN убедитесь, что был произведен требуемый трафик. На следующем снимке экрана показано, что хост C использует View Sniffer для перехвата общего трафика между двумя хостами. Это замечательно показывает, что хост жертвы (в нашем случае B) был успешно переполнен пакетами атаки Land.
Обнаружение и предотвращение
Этой атаке уязвимы несколько серверов и операционных систем, таких как MS Windows 2003 и классическое программное обеспечение Cisco IOS. Чтобы обнаружить наземную атаку, настройте защиту от наземной атаки. Таким образом, система может подавать сигнал тревоги и отбрасывать пакет всякий раз, когда обнаруживается атака. Чтобы включить обнаружение наземных атак, прежде всего, настройте интерфейсы и назначьте им IP-адреса, как показано ниже:
После настройки интерфейсов настройте политики безопасности и зоны безопасности на «trustZone» из » untrustZone «.
Теперь настройте системный журнал, используя следующие команды, а затем зафиксируйте конфигурацию:
Заключение
Наземные атаки интересны тем, что они чрезвычайно преднамеренные и требуют, чтобы люди выполняли, поддерживали и контролировали их. Остановить подобные атаки Network Denial невозможно. Всегда возможно, что злоумышленник отправит на целевой компьютер столько данных, что он не сможет их обработать.
Повышенная скорость сети, исправления от поставщиков, брандмауэры, инструменты или оборудование программы обнаружения и предотвращения вторжений (IDS / IPS), а также правильная настройка сети могут помочь уменьшить последствия этих атак. Прежде всего, в процессе защиты операционной системы рекомендуется изменить конфигурации стека TCP / IP по умолчанию в соответствии со стандартами безопасности.
