LANDアタックってなに?パーソナルファイアーウォールでの検出例
発信元と送信先のIPアドレスが同じパケットを送信して、相手を混乱させる攻撃法です。
ここではパーソナルファイアーウォールが、単なる設定ミスのパソコンからのパケットをLANDアタックと判断してしまうのは、どのような状況なのか考えてみます♪
あなたがLAN側でクラスCのIPアドレス、[192.168.1.x]を利用しているとします。
クラスCではサブネットマスクを[255.255.255.0]に設定しますと、[192.168.1.1-192.168.1.254]の範囲のIPアドレスを、パソコンやネットワークプリンター(ここではノードと呼ぶことにします)に割り当てられます。
もし異なるサブネットマスクをノードごとに割り当てると、どうなるのでしょう?
ゲートウェイ(ルーター)やパソコンに割り当てるサブネットマスクを255.255.255.128にして運営しているのに(Aとします)、1台だけサブネットマスクが255.255.255.0だったとします(Bとしますね)。
Aではノードに利用できるIPアドレスは[192.168.1.1-192.168.1.126]、ブロードキャストアドレス(全体呼び出し)は192.168.1.127になります。
後者のBの設定では、ノードに利用できるIPアドレスは[192.168.1.1-192.168.1.254]、ブロードキャストアドレス(全体呼び出し)は192.168.1.255です。
このようなケースでは、NetBIOSなどのブロードキャストの発呼は192.168.1.127宛でなければならないのに、Bは192.168.1.255へ送信してしまいます(そのLANでは利用できないIPアドレスなのに)。
そして一部のパーソナルファイアーウォールは、このようなトラフィックをLANDアタックとして検出してしまいます。
もちろん、本当に誰かにいたずらされている可能性もあるかもしれません。
ここではパーソナルファイアーウォールが、単なる設定ミスのパソコンからのパケットをLANDアタックと判断してしまうのは、どのような状況なのか考えてみます♪
あなたがLAN側でクラスCのIPアドレス、[192.168.1.x]を利用しているとします。
クラスCではサブネットマスクを[255.255.255.0]に設定しますと、[192.168.1.1-192.168.1.254]の範囲のIPアドレスを、パソコンやネットワークプリンター(ここではノードと呼ぶことにします)に割り当てられます。
もし異なるサブネットマスクをノードごとに割り当てると、どうなるのでしょう?
ゲートウェイ(ルーター)やパソコンに割り当てるサブネットマスクを255.255.255.128にして運営しているのに(Aとします)、1台だけサブネットマスクが255.255.255.0だったとします(Bとしますね)。
Aではノードに利用できるIPアドレスは[192.168.1.1-192.168.1.126]、ブロードキャストアドレス(全体呼び出し)は192.168.1.127になります。
後者のBの設定では、ノードに利用できるIPアドレスは[192.168.1.1-192.168.1.254]、ブロードキャストアドレス(全体呼び出し)は192.168.1.255です。
このようなケースでは、NetBIOSなどのブロードキャストの発呼は192.168.1.127宛でなければならないのに、Bは192.168.1.255へ送信してしまいます(そのLANでは利用できないIPアドレスなのに)。
そして一部のパーソナルファイアーウォールは、このようなトラフィックをLANDアタックとして検出してしまいます。
もちろん、本当に誰かにいたずらされている可能性もあるかもしれません。