Uralter LAND-Angriff funktioniert wieder im aktuellen Windows

Acht Jahre, nachdem der LAND-Angriff zum ersten Mal aufgetaucht ist, ist der Microsoft-Windows-TCP/IP-Stack wieder angreifbar für diese historische Denial-of-Service-Attacke. Diesmal ist Windows XP mit installiertem Service-Pack 2 und Windows 2003 betroffen, so der serbische Security Engineer Dejan Levaja auf Bugtraq. Die Quell-IP sowie der Quell-Port ist bei einem LAND-Paket gleich der Ziel-IP/-Port. Außerdem ist das SYN-Flag gesetzt, was den Anschein vermittelt, als würde der Rechner die Pakete an sich selbst senden. Während er versucht zu antworten, ist der Rechner einige Zeit mit sich selbst beschäftigt und verbraucht bei einem erfolgreichen Angriff sämtliche CPU-Ressourcen des Systems. Ausnahmen sind Multi-Prozessor- oder Hyperthreading-Systeme, wo die Last nur für einen Prozessor ansteigt, so das Internet Storm Center (ISC).

Um den Fehler zu reproduzieren, kann man das hping-Tool auf folgende Weise benutzen:

hping -V -c 100 -d 40 -S -k -s 139 -p 139 -a 192.168.0.1 192.168.0.1

Für das Argument -a IP IP gibt man die IP des Rechners an, der angegriffen werden soll. Mit dem Befehl netstat -a überprüft man, welche Ports für den Angriff erreichbar sind (hier 139). Falls dort beispielsweise der Port 80 für einen Webserver auftaucht und dieser mit einem LAND-Angriff durch die Firewall erreichbar ist, kann man auch von außen einen Webserver per DoS stilllegen. Allerdings sollten richtig administrierte Router per "Ingress Filter" vor einem LAND-Paket aus dem Internet schützen, indem nur Pakete ins interne Netz gelangen dürfen, die keine interne IP als Source-IP im Header tragen.

Siehe dazu auch: (eck)

• LAND Attack Update vom ISC
• New LAND Attack on Windows XP and 2003 Server vom ISC
• Aufgrund von "Land Attack" wird Windows NT langsamer von Microsoft
• Windows 95 hängt aufgrund von "Land Attack" von Microsoft
• Seit 1997 bekannter LAND-Exploit von m3lt
• IP-Torpedos legen Rechner lahm