Nowy sposób atakowania urządzeń sieciowych może całkowicie zablokować komunikację w intranecie i Internecie.

Pod koniec listopada br. sieci podłączone do Internetu nawiedziła kolejna fala ataków, których celem było zablokowanie działania pracujących w nich urządzeń sieciowych. Stało się to możliwe dzięki odkryciu przez hakera, ukrywającego się pod pseudonimem Meltman, nowej metody „zapętlenia” urządzeń podłączonych do sieci, znanej obecnie jako Land Attack. Opracował on specjalny program land.c i udostępnił go w Internecie. Zaatakowane za jego pośrednictwem urządzenia sieciowe znacznie spowalniały swoją pracę bądź też całkowicie ją przerywały, wymagając ponownego uruchomienia.

Wyłączyć Internet

Land Attack to kolejny sposób blokowania urządzeń pracujących w sieci IP poprzez wysyłanie do nich zbyt dużej liczby synchronizacyjnych pakietów sieciowych. Pakiety takie wykorzystywane są podczas inicjowania sesji komunikacyjnych, np. w przypadku takich usług sieciowych, jak WWW, Telnet, FTP czy SMTP. Wszystkie dotychczasowe metody ataku wyglądały w ten sposób, że specjalnie skonstruowany program „zalewał” dany port danego urządzenia bądź serwera pakietami synchronizacyjnymi. Land Attack pracuje w nieco inny, bardziej zaawansowany sposób. Wysyła on do portu danego urządzenia tylko jeden taki pakiet, ale fałszuje w nim adres IP urządzenia, które jest nadawcą, podmieniając go na taki sam adres, jaki ma maszyna docelowa. Gdy atakowany serwer bądź inne urządzenie sieciowe, mające własny numer IP, dostaje taki pakiet, to próbuje wysłać potwierdzenie jego otrzymania do stacji nadawczej. Niemniej adres ten jest zamieniony, w wyniku czego potwierdzenie trafia z powrotem do atakowanego urządzenia. Jeśli urządzenie to nie jest odporne na ten błąd, ponownie wyśle potwierdzenie otrzymania pakietu, wpadając tym samym w pętlę, która prowadzi do jego całkowitego zablokowania.

Uruchomienie takie programu przez wielu hakerów równocześnie w Internecie może mieć łatwo przewidywalne skutki – jeśli pracują w niej urządzenia, które nie potrafią poradzić sobie z Land Attack, to światowa komunikacja może zostać w bardzo prosty sposób zakłócona lub przerwana. Toteż główni producenci sprzętu sieciowego przeprowadzili testy własnych urządzeń, w wyniku czego powstały dwie nieoficjalne listy produktów podatnych i nie podatnych na nowy rodzaj ataku.

O działanie swojego sprzętu nie musi obawiać się Hewlett-Packard, którego urządzenia sieciowe i serwery unixowe odporne są na Land Attack. Mniej powodów do zadowolenia ma firma Cisco, której sprzęt dominuje w Internecie. Okazało się bowiem, że jej routery są podatne na atak programu land.c. Firma deklarowała, że problem dotyczy wyłącznie routerów o numerach większych niż 1000, ale okazało się, że identyczny problem mają też routery linii Cisco 700.

Cisco na swojej stronie WWW udostępniła już poprawki, które korygują działanie systemu Cisco IOS, zaimplementowanego w routerach pod kątem wystąpienia Land Attack. W przypadku niektórych urządzeń, np. Cisco Catalyst 5000, wystarczy usunąć adres IP, co zapobiegnie atakom, ale uniemożliwi zdalne zarządzenie.

Beztroski Microsoft

Inną firmą, której produkty znalazły się na „czarnej liście”, jest Microsoft. Niemniej firma próbuje bagatelizować problem. „Testowaliśmy Windows NT 4.0 z zainstalowanym zestawem poprawek Service Pack 3 pod kątem ataku Land Attack i okazało się, że system spowalnia tylko swoje działanie na ok. 60 s, po czym zaczyna ponownie funkcjonować” – mówi Karan Khanna, odpowiedzialny w firmie Microsoft za Windows NT. Firma zapowiedziała, że udostępni wkrótce poprawkę korygującą ten problem.