LAND 攻擊是什麼

　LAND 攻擊 Local Area Network Denial attack 區域網路阻斷服務攻擊，是 OSI 模型第四層傳輸層的一種阻斷式服務攻擊，也是 DoS 攻擊的一種，主要利用 TCP/IP 協定實作上的漏洞，讓目標系統無法正常處理網路封包，最終導致資源耗盡或系統崩潰。

※主要針對 TCP 協定，但理論上 UDP 也能模仿類似方式。

LAND 攻擊的特色在於：

1. 攻擊流量不必大
   由於是針對系統協定漏洞的攻擊，即使低頻封包也可能癱瘓系統。

2. 屬於早期系統漏洞攻擊
   LAND 攻擊主要影響早期的 Windows、Linux…等版本，最早則在1997年被某人以「m3lt」的名稱提出，不過現代系統大多已修補。

3. 本地與遠端皆可發動
   雖然名稱有「Local」，但實際上遠端攻擊者也能利用此漏洞。

LAND 攻擊原理

　LAND 攻擊的攻擊原理是利用 TCP/IP 協定在早期系統中的處理缺陷，偽造封包的來源 IP 與目的 IP 相同，且來源與目的的埠號也相同，也就是說讓目標電腦收到一個「自己送給自己」的封包，導致資源消耗或當機。

核心原理如下：

1. 偽造封包來源與目的相同
   攻擊者會發送一個特殊的 TCP SYN 封包，將「來源 IP 與 目標 IP」設定相同，同時也將「來源 Port 與目的 Port」設定相同。

2. 系統嘗試與自己建立連線
   當目標收到這種封包時，會誤以為是自己送來的連線請求，於是會嘗試回覆給「自己」。

3. 陷入封包循環或資源被佔用
   因為來源與目的相同，回覆的封包又被自己接收到，因此系統會重複嘗試建立連線，持續耗用 CPU、記憶體與網路堆疊資源。

4. 系統崩潰或無法服務
   在漏洞未修補的情況下，這會導致連線資源耗盡、系統反應變慢或當機並且無法處理其他正常需求。

　LAND 攻擊並不是靠像 DDoS 這種大量流量進行癱瘓，而是 DoS 這種異常流量僅靠單一源頭的攻擊，靠「協定邏輯漏洞」造成單個封包就能引發問題，因此 LAND 攻擊在早期是相當經典的 DoS 攻擊手法之一。

LAND 攻擊情境比喻

　現在我們用簡單的生活情境來比喻 LAND 攻擊的情況。

情境一：電話自己打給自己

家裡電話突然響起，拿起電話一看發現來電顯示的號碼，竟然是你自己的電話號碼。

• 你接起來後，聽到的是「自己打給自己」的呼叫音。

• 系統(電話交換機)以為這是一通正常的電話，於是一直在嘗試幫你接通。

• 但因為來源和目的都是你自己，電話系統就會陷入一種 無限忙線的循環，你也就無法再接到別人的電話。

這與 LAND 攻擊相似之處在於：

• 來源 IP 與目的 IP 相同 → 自己打給自己

• 系統誤判 → 嘗試建立「自我連線」

• 結果 → 佔用資源，阻塞正常服務

情境二：自己送信給自己

郵差送信，發現信封上的寄件人和收件人的地址完全一樣，都是郵差自己的住址。

• 郵差按照規定要把信送給收件人(也就是自己)。

• 他把信送回家後，又發現信上的收件人是自己，於是又開始重新寄送給自己。

• 這樣不斷重複，郵差就永遠忙在給自己送信的循環中，無法去派送其他人的信件。

這與 LAND 攻擊相似之處在於：

• 來源 IP 與目的 IP 相同 → 寄件人與收件人是同一個

• 系統嘗試回應 → 郵差送信給自己

• 資源被耗盡 → 無法處理其他正常請求

如何防禦 LAND 攻擊

　LAND 攻擊雖然是早期流行的漏洞型 DoS 攻擊，且現代作業系統與網路設備已內建檢查機制，但如果系統使用了過時的版本或舊網路設備，仍然還是有可能被 LAND 攻擊也仍需額外過濾規則，因此最有效的防禦方式就是「升級系統與韌體(第一道防線)」以及「防火牆與 IPS 入侵防禦系統過濾(第二道防線)」。

　不過為了避免遭到不必要的攻擊，防範 LAND 攻擊我們可以簡單記得三個步驟，如以下。

1. 更新系統與設備
   把作業系統、路由器、防火牆等韌體更新到最新版本，修掉舊的 TCP/IP 漏洞。

2. 防火牆過濾異常封包
   設定規則，封鎖來源 IP 和目的 IP、來源 Port 和目的 Port 都相同的封包，此類封包在正常業務中幾乎不會出現，過濾安全性高。

3. 啟用安全監控
   用 IPS/IDS 監控流量，一旦發現這種異常封包就立即阻擋。