Land攻撃

Land攻撃とは

Land攻撃は、DoS攻撃の一種で、送信元IPアドレスと送信先IPアドレスが同一であるパケットを、攻撃対象のコンピュータに送信することで成立します。これは、対象のコンピュータを自滅的な状態に陥らせることを目的としています。 "Land" は "Local Area Network Denial" の略とされています。

攻撃の概要

この攻撃手法とその脆弱性は、1997年11月20日にBugtraqで公開されました。発見者はm3ltで、公開時には検証用コード（エクスプロイト）である`land.c`のソースコードが添付されていました。そのため、CVEなどでは「loopback DoS」とも呼ばれますが、一般にはLand攻撃として知られています。

攻撃は非常にシンプルで、攻撃対象コンピュータのIPアドレスを送信元と送信先の両方に設定したSYNパケットを送信します。脆弱性のあるコンピュータは、このパケットを受信すると、オープンポートであればSYN+ACKパケットを、クローズポートであればRSTパケットを返信します。しかし、送信元IPアドレスが攻撃対象自身のIPアドレスであるため、返信パケットも自身に送り返されます。

`land.c`では、IPアドレスだけでなく、ポート番号も送信元と送信先で同じ値に設定していました。これにより、攻撃対象コンピュータは、自身のある特定のポートにパケットを送り続け、その返信パケットも同じポートに送り返すというループに陥り、最終的にフリーズするか、実用的でないほどの高負荷状態になります。

また、`land.c`にはいくつかの亜種が存在し、元の`land.c`では一時的な高負荷で済んだOSも、亜種ではフリーズしてしまうような改良が加えられたものもあります。

影響

Land攻撃は、その単純さにも関わらず、当時の多くのOSが脆弱性を持っていたことで知られています。以下に影響を受けた主なOSを挙げます。

SunOS
SCO UNIX
NetWare
NetBSD
Microsoft Windows NT
Microsoft Windows 95
Linux
HP-UX
FreeBSD
Cisco Internetworking Operating System (Cisco IOS)
BSD/OS

さらに、この問題の発表後にリリースされた以下のOSにも、同じ脆弱性があることが後に判明しました。

Microsoft Windows XP
Microsoft Windows Server 2003

これらの脆弱性はIPv4環境での問題でしたが、2005年5月17日には、IPv6環境でも多くのOSが同様の脆弱性を持つことが示されました。

IPAの報告

情報処理推進機構（IPA）は、過去に発生したTCP/IP関連の脆弱性問題の再発を防ぐため、「TCP/IPに係る既知の脆弱性に関する調査報告書」を作成し、その中でLand攻撃についても言及しています（TCP問題の4）。

まとめ

Land攻撃は、単純ながらも非常に効果的なDoS攻撃であり、かつて多くのシステムに影響を与えました。現在では、ほとんどのOSで対策が施されていますが、過去の脅威として、その存在を知っておくことは重要です。

参考資料

SCO - “IP-based Denial of Service Attacks”
* [マイクロソフト]] - [“Windows NT 4.0 で \"Land Attack\" により、Windows NT の速度が遅くなる”

もう一度検索