Acht Jahre, nachdem der LAND-Angriff zum ersten Mal aufgetaucht ist, ist der Microsoft-Windows-TCP/IP-Stack wieder angreifbar für diese historische Denial-of-Service-Attacke. Diesmal ist Windows XP mit installiertem Service-Pack 2 und Windows 2003 betroffen, so der serbische Security Engineer Dejan Levaja auf Bugtraq. Die Quell-IP sowie der Quell-Port ist bei einem LAND-Paket gleich der Ziel-IP/-Port. Außerdem ist das SYN-Flag gesetzt, was den Anschein vermittelt, als würde der Rechner die Pakete an sich selbst senden. Während er versucht zu antworten, ist der Rechner einige Zeit mit sich selbst beschäftigt und verbraucht bei einem erfolgreichen Angriff sämtliche CPU-Ressourcen des Systems. Ausnahmen sind Multi-Prozessor- oder Hyperthreading-Systeme, wo die Last nur für einen Prozessor ansteigt, so das Internet Storm Center (ISC).
Um den Fehler zu reproduzieren, kann man das hping-Tool auf folgende Weise benutzen:
hping -V -c 100 -d 40 -S -k -s 139 -p 139 -a 192.168.0.1 192.168.0.1Für das Argument -a IP IP gibt man die IP des Rechners an, der angegriffen werden soll. Mit dem Befehl netstat -a überprüft man, welche Ports für den Angriff erreichbar sind (hier 139). Falls dort beispielsweise der Port 80 für einen Webserver auftaucht und dieser mit einem LAND-Angriff durch die Firewall erreichbar ist, kann man auch von außen einen Webserver per DoS stilllegen. Allerdings sollten richtig administrierte Router per "Ingress Filter" vor einem LAND-Paket aus dem Internet schützen, indem nur Pakete ins interne Netz gelangen dürfen, die keine interne IP als Source-IP im Header tragen.
Quelle und Links :
http://www.heise.de/newsticker/meldung/57199
