與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址

和目的IP地址是相同的，都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文後，就會向該報文

的源地址傳送一個ACK報文，並建立一個TCP連線控制結構（TCB），而該報文的源地址就是自己，因此，

這個ACK報文就發給了自己。這樣如果攻擊者傳送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，

最終不能正常服務。這也是一種DOS攻擊。

land攻擊是一種使用相同的源和目的主機和埠傳送資料包到某臺機器的攻擊。當作業系統接收到這類資料包時，不知道該如何處理，或者迴圈傳送和接收該資料包，這樣會消耗大量的系統資源，從而有可能造成系統崩潰或宕機。

在Land攻擊中，一個特別打造的SYN包中的原地址和目標地址都被設定成某一個伺服器地址，這時將導致接受伺服器向它自己的地址傳送SYN一ACK訊息，結果這個地址又發回ACK訊息並建立一個空連線，每一個這樣的連線都將保留直到超時掉。對Land攻擊反應不同，許多UNIX實現將崩潰，而WindowsNT會變的極其緩慢（大約持續五分鐘）。

防禦方法：這類攻擊的檢測方法相對來說比較容易，因為可以直接通過判斷網路資料包的源地址和目標地址是否相同確認是否屬於攻擊行為。反攻擊的方法當然是適當地配置防火牆裝置或制定包過濾路由器的包過濾規則，並對這種攻擊進行審計，記錄事件發生的時間、源主機和目標主機的MAC地址和IP地址，從而可以有效地分析並跟蹤攻擊者的來源。

本文來自部落格園，作者：{admin-xiaoli}，轉載請註明原文連結：{https://www.cnblogs.com/crackerroot}