Land-Attacke
Land ist ein Denial-of-Service-Tool, das im November 1997 veröffentlicht wurde. Es nutzt eine Schwachstelle in der TCP-Implementierung verschiedener Betriebssysteme aus, die bereits im März 1997 von Microsoft bekanntgegeben wurde.
Funktionsweise
Land erzeugt ein SYN-Paket, bei dem Absender- und Zieladresse sowie Absender- und Zielport identisch sind, wobei Absender- und Zieladresse mit der des Opfers übereinstimmen. Dieses Paket wird dann an einen offenen Port des Opfers gesendet. Dieses antwortet mit einem SYN/ACK-Paket an die Quelle (also sich selbst). Fehler im TCP/IP-Stack können dazu führen, dass dieses SYN/ACK-Paket als normales SYN-Paket betrachtet wird und das Opfer ein neues SYN/ACK-Paket an sich selbst generiert. Das Opfer wird durch die SYN/ACK-Pakete, die es sich selbst auf demselben Port zuschickt, ausgelastet. Es entsteht eine Race Condition, die das betroffene System lahmlegen kann.
Ebenfalls im November 1997 tauchte Latierra auf, eine Weiterentwicklung von Land, die einen Angriff auf mehrere (auch geschlossene) Ports gleichzeitig durchführen kann und außerdem das Anpassen verschiedener Flags in den Headern erlaubt.
Auswirkungen
Besondere Popularität erlangte Land, weil nicht nur diverse Betriebssysteme für Endbenutzer wie Windows oder FreeBSD betroffen waren, sondern auch Router der Firma Cisco durch diese Attacke lahmgelegt werden konnten. Diese anfälligen Router waren 1997 stark verbreitet und wurden unter anderem an zentralen Stellen des Internets oder anderer großer Netzwerke eingesetzt, so dass durch einen einzigen Angriff große Subnetze unerreichbar gemacht werden konnten.
Der Code wurde weiterentwickelt, um neue Arten (Mutationen) zu erzeugen. Am 12. April 2005 (also 8 Jahre nach der ersten Veröffentlichung) wurde bekannt, dass Windows XP (SP2) und Windows 2003 (RTM) wieder anfällig für diesen Angriff sind. Eine Land-Attacke auf diese Betriebssysteme kann nicht nur zur Auslastung des Systems, sondern auch zum Absturz führen.