攻击与威胁
LAND 攻击
定义
构造源 IP 和端口与目的相同的伪造 TCP SYN 数据包,使易受影响的系统陷入死循环或崩溃的早期 DoS 攻击。
LAND(Local Area Network Denial)攻击构造一个 TCP SYN 数据包,使源 IP 和端口与目的 IP 和端口完全相同,从而让目标系统认为自己在向自己发起连接。早期 TCP/IP 实现(Windows 95/NT、部分 BSD 与 SunOS 时代系统,以及某些嵌入式设备)在处理这种包时会陷入 SYN/ACK 死循环、占满 CPU、卡死甚至重启。现代操作系统已能识别并丢弃这类数据包,但在测试不足的 IoT 和工业网络栈中,这种问题仍会出现。防御措施包括对源等于目的的入站包进行过滤、在边缘 ACL 中拒绝伪装为本网段地址的流量,以及及时为旧设备打补丁或更换。
示例
- 向未打补丁的 Windows 95 主机发送从 10.0.0.1:80 到 10.0.0.1:80 的 SYN 包,使其卡死。
- 现代 LAND 风格的数据包在某个有缺陷的工业控制器上引发 CPU 飙升。
相关术语
拒绝服务攻击 (DoS)
通过耗尽系统的带宽、算力、内存或应用层资源,使合法用户无法访问服务的攻击。
SYN 洪水攻击
基于 TCP 的拒绝服务攻击,通过大量发送未完成三次握手的 SYN 包,耗尽目标的连接状态资源。
死亡之 Ping (Ping of Death)
一种历史性 DoS 攻击,通过发送畸形或超大的 ICMP echo 数据包,使存在缺陷的 TCP/IP 协议栈在重组时崩溃、挂起或重启。
Teardrop 攻击
通过发送 offset 重叠或字段畸形的 IP 分片,使重组逻辑存在缺陷的 TCP/IP 协议栈崩溃的早期 DoS 攻击。
IP 欺骗
伪造网络数据包的源 IP 地址,以冒充其他主机、绕过过滤或放大拒绝服务攻击。
Smurf 攻击
向网络广播地址发送伪造源 IP 为受害者的 ICMP echo 请求,使该网络上所有主机向受害者回应的早期放大型 DDoS 攻击。