LAND Attack

1. 개요
LAND 공격은 네트워크에서 TCP 프로토콜의 취약점을 악용한 DoS(서비스 거부) 공격의 일종이다. 이 공격은 출발지 IP(Source IP)와 목적지 IP(Destination IP)를 동일하게 설정한 TCP 패킷을 대상 시스템에 보내는 방식으로 이루어진다. 대상 시스템은 이를 처리하려다 혼란에 빠지며, 시스템 리소스를 소모하여 정상적인 네트워크 서비스를 방해하거나 시스템을 다운시킨다.

LAND 공격은 1997년에 처음 보고된 고전적인 공격이지만, 패치되지 않은 시스템이나 IoT 장치와 같은 일부 환경에서는 여전히 유효할 수 있다.

2. 공격 원리
   1) TCP 프로토콜의 기본 동작(3-way Handshake 통해 클라이언트와 서버 연결)
       ① 클라이언트가 SYN 패킷을 서버에 전송
       ② 서버는 SYN-ACK 패킷으로 응답
       ③ 클라이언트는 ACK 패킷으로 확인

 

   2) LAND 공격의 동작 과정
       ① 공격자는 출발지 IP와 목적지 IP를 동일하게 설정한 SYN 패킷을 생성
       ② 대상 시스템은 자신에게 SYN-ACK 응답을 보냄
       ③ 시스템은 자신의 SYN-ACK에 대한 ACK를 기다리며 대기 상태로 진입
       ④ 대량의 이러한 패킷이 전송되면 시스템 리소스가 고갈되어 서비스가 중단

3. 공격의 특징
   - 공격 난이도: 패킷 스푸핑 기술로 쉽게 실행 가능.
   -  영향 대상: 초기 운영 체제(특히 Windows NT, 일부 Linux/Unix 시스템), 일부 네트워크 장비.
   -  탐지 어려움: 패킷 자체가 합법적으로 보이기 때문에 분석이 필요.

 

4. 탐지 방법
   1) 네트워크 트래픽 분석
       - Wireshark 또는 tcpdump를 사용하여 동일한 출발지와 목적지 IP, 포트를 가진 비정상적인 패킷을 탐지
       - LAND 공격 패킷의 예시

         Source IP: 192.168.0.1
         Destination IP: 192.168.0.1
         Source Port: 80
         Destination Port: 80

 

   2) 로그 분석 : 방화벽 또는 IDS/IPS 로그에서 동일한 IP와 포트를 가진 비정상적인 연결 요청이 반복적으로 발생하는지 확인

   3) 이상 트래픽 패턴 탐지 : 네트워크 모니터링 도구를 사용해 SYN 패킷 증가 또는 네트워크 응답 시간 지연을 감지

5. 대응 방법

   1) 운영 체제 및 네트워크 장비 패치
       - 최신 보안 업데이트를 적용하여 LAND 공격을 방어
        (현재 운영 체제는 대부분 LAND 공격에 대한 패치를 포함하고 있음)

 

   2) 방화벽 및 라우터 설정
       - 방화벽에서 출발지와 목적지 IP가 동일한 패킷을 차단
         ( iptables -A INPUT -s 192.168.0.0/24 -d 192.168.0.0/24 -j DROP )
       - 라우터에서 동일한 출발지와 목적지 IP를 가진 트래픽 필터링

 

   3) IDS/IPS 사용
       - 침입 탐지 및 방지 시스템에서 LAND 공격 시그니처를 설정하여 탐지 및 차단.
         Snort 룰 예: alert tcp $HOME_NET any -> $HOME_NET any (msg:"LAND Attack Detected"; flags:S;)

 

   4) SYN 요청 제한 : 방화벽에서 단일 클라이언트가 생성할 수 있는 SYN 요청 수 제한

   5) 네트워크 세분화 : VLAN 또는 서브넷을 활용해 네트워크를 세분화하여 공격 확산 방지
   6) DDoS 방어 솔루션 도입을 통해 LAND 공격 탐지 및 방어