(一)Dos拒絕服務(wù)

DoS是Denial of Service的簡(jiǎn)稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。最常見(jiàn)的DoS攻擊有計(jì)算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。

DoS攻擊是指故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或直接通過(guò)野蠻手段殘忍地耗盡被攻擊對(duì)象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)或資源訪問(wèn)，使目標(biāo)系統(tǒng)服務(wù)系統(tǒng)停止響應(yīng)甚至崩潰，而在此攻擊中并不包括侵入目標(biāo)服務(wù)器或目標(biāo)網(wǎng)絡(luò)設(shè)備。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放的進(jìn)程或者允許的連接。這種攻擊會(huì)導(dǎo)致資源的匱乏，無(wú)論計(jì)算機(jī)的處理速度多快、內(nèi)存容量多大、網(wǎng)絡(luò)帶寬的速度多快都無(wú)法避免這種攻擊帶來(lái)的后果。

(二)Dos攻擊和防御

1、SYN洪水攻擊

要理解dos攻擊，首先要理解TCP連接的三次握手過(guò)程(Three-wayhandshake)。
在TCP/IP協(xié)議中，TCP協(xié)議提供可靠的連接服務(wù)，采用三次握手建立一個(gè)連接。
第一次握手:建立連接時(shí)，客戶端發(fā)送SYN包((SYN=i)到服務(wù)器，并進(jìn)入SYN SEND狀態(tài)，等待服務(wù)器確認(rèn);
第二次握手:服務(wù)器收到SYN包，必須確認(rèn)客戶的SYN (ACK=i+1 )，同時(shí)自己也發(fā)送一個(gè)SYN包((SYN=j)}即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ACK=j+1)，此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)，完成三次握手，客戶端與服務(wù)器開(kāi)始傳送數(shù)據(jù)。
在上述過(guò)程中，還有一些重要的概念:
半連接: 收到SYN包而還未收到ACK包時(shí)的連接狀態(tài)稱為半連接，即尚未完全完成三次握手的TCP連接。
半連接隊(duì)列: 在三次握手協(xié)議中，服務(wù)器維護(hù)一個(gè)半連接隊(duì)列，該隊(duì)列為每個(gè)客戶端的SYN包(SYN=i )開(kāi)設(shè)一個(gè)條目，該條目表明服務(wù)器已收到SYN包，并向客戶發(fā)出確認(rèn)，正在等待客戶的確認(rèn)包。這些條目所標(biāo)識(shí)的連接在服務(wù)器處于SYN_ RECV狀態(tài)，當(dāng)服務(wù)器收到客戶的確認(rèn)包時(shí)，刪除該條目，服務(wù)器進(jìn)入ESTABLISHED狀態(tài)。
Backlog參數(shù): 表示半連接隊(duì)列的最大容納數(shù)目。
SYN-ACK重傳次數(shù): 服務(wù)器發(fā)送完SYN-ACK包，如果未收到客戶確認(rèn)包，服務(wù)器進(jìn)行首次重傳，等待一段時(shí)間仍未收到客戶確認(rèn)包，進(jìn)行第二次重傳，如果重傳次數(shù)超過(guò)系統(tǒng)規(guī)定的最大重傳次數(shù)，系統(tǒng)將該連接信息、從半連接隊(duì)列中刪除。注意，每次重傳等待的時(shí)間不一定相同。
半連接存活時(shí)間: 是指半連接隊(duì)列的條目存活的最長(zhǎng)時(shí)間，也即服務(wù)從收到SYN包到確認(rèn)這個(gè)報(bào)文無(wú)效的最長(zhǎng)時(shí)間，該時(shí)間值是所有重傳請(qǐng)求包的最長(zhǎng)等待時(shí)間總和。有時(shí)也稱半連接存活時(shí)間為Timeout時(shí)間、SYN_RECV存活時(shí)間。

上面三個(gè)參數(shù)對(duì)系統(tǒng)的TCP連接狀況有很大影響。

SYN洪水攻擊屬于DoS攻擊的一種，它利用TCP協(xié)議缺陷，通過(guò)發(fā)送大量的半連接請(qǐng)求，耗費(fèi)CPU和內(nèi)存資源。

攻擊者偽造ACK數(shù)據(jù)包，發(fā)送大量的半連接請(qǐng)求 Web服務(wù)器在未收到客戶端的確認(rèn)包時(shí)，會(huì)重發(fā)請(qǐng)求包一直到鏈接超時(shí)，才將此條目從未連接隊(duì)列刪除。攻擊者再配合IP欺騙，SYN攻擊會(huì)達(dá)到很好的效果。通常攻擊者在短時(shí)間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復(fù)確認(rèn)包，并等待客戶的確認(rèn)，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長(zhǎng)時(shí)間占用未連接隊(duì)列，正常的SYN 請(qǐng)求被丟棄，目標(biāo)系統(tǒng)運(yùn)行緩慢，嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

SYN攻擊除了能影響主機(jī)外，還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開(kāi)TCP服務(wù)就可以實(shí)施。從圖4-3可看到，服務(wù)器接收到連接請(qǐng)求(SYN=i )將此信息加入未連接隊(duì)列，并發(fā)送請(qǐng)求包給客戶端( SYN=j,ACK=i+1 )，此時(shí)進(jìn)入SYN_RECV狀態(tài)。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時(shí)，重發(fā)請(qǐng)求包，一直到超時(shí)，才將此條目從未連接隊(duì)列刪除。配合IP欺騙，SYN攻擊能達(dá)到很好的效果，通常，客戶端在短時(shí)間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復(fù)確認(rèn)包，并等待客戶的確認(rèn)，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長(zhǎng)時(shí)間占用未連接隊(duì)列，正常的SYN 請(qǐng)求被丟棄，目標(biāo)系統(tǒng)運(yùn)行緩慢，嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

過(guò)程如下:
攻擊主機(jī)C(地址偽裝后為C')-----大量SYN包---->被攻擊主機(jī)
C'<-------SYN/ACK包----被攻擊主機(jī)
由于C地址不可達(dá)，被攻擊主機(jī)等待SYN包超時(shí)。攻擊主機(jī)通過(guò)發(fā)大量SYN包填滿未連接隊(duì)列，導(dǎo)致正常SYN包被拒絕服務(wù)。另外，SYN洪水攻擊還可以通過(guò)發(fā)大量ACK包進(jìn)行DoS攻擊。

防御方法

第一種是縮短SYN Timeout時(shí)間
第二種方法是設(shè)置SYN Cookie，就是給每一個(gè)請(qǐng)求連接的IP地址分配一個(gè)Cookie，如果短時(shí)間內(nèi)連續(xù)受到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定是受到了攻擊，以后從這個(gè)IP地址來(lái)的包會(huì)被一概丟棄。

缺陷

SYN Cookies 的使用不與任何協(xié)議定義沖突，照理來(lái)說(shuō)它該和所有的 TCP 實(shí)現(xiàn)兼容。然而，當(dāng) SYN Cookies 使用的時(shí)候，會(huì)發(fā)生兩種值得注意的變化：
首先，服務(wù)器只能編碼八種 MSS 數(shù)值，因?yàn)橹挥?3 位二進(jìn)制空間可用。
其次，這個(gè)服務(wù)器必須拒絕所有的TCP 選用項(xiàng)，例如大型窗口和時(shí)間戳，因?yàn)榉?wù)器會(huì)在信息被用其他方式存儲(chǔ)時(shí)丟棄 SYN 隊(duì)列條目。

盡管這些限制將不可避免地導(dǎo)致一個(gè)不如最佳的體驗(yàn)，它們的效果很少被客戶端注意到——這些改變只在被攻擊時(shí)值得注意。在這樣的情況下，犧牲 TCP 選項(xiàng)來(lái)保護(hù)連接一般被認(rèn)為是合乎情理的。
Linux內(nèi)核從 2.6.26 版本開(kāi)始為 TCP 選用項(xiàng)加入了有限的支持，通過(guò)把它們編碼在時(shí)間戳內(nèi)實(shí)現(xiàn)。
較新的TCP Cookie 傳輸（TCPCT）標(biāo)準(zhǔn)被設(shè)計(jì)用來(lái)克服 SYN Cookies 的這些問(wèn)題，并且在各種方面改進(jìn)這套機(jī)制。不像 SYN Cookies，TCPCT 是一個(gè) TCP 拓展并且要求兩端點(diǎn)都支持 TCPCT。

2、ACK Flood攻擊

在TCP連接建立之后，所有的數(shù)據(jù)傳輸TCP報(bào)文都是帶有ACK標(biāo)志位的，主機(jī)在接收到一個(gè)帶有ACK標(biāo)志位的數(shù)據(jù)包的時(shí)候，需要檢查該數(shù)據(jù)包所表示的連接四元組是否存在，如果存在則檢查該數(shù)據(jù)包所表示的狀態(tài)是否合法，然后再向應(yīng)用層傳遞該數(shù)據(jù)包。如果在檢查中發(fā)現(xiàn)該數(shù)據(jù)包不合法，例如該數(shù)據(jù)包所指向的目的端口在本機(jī)并未開(kāi)放，則主機(jī)操作系統(tǒng)協(xié)議棧會(huì)回應(yīng)RST包告訴對(duì)方此端口不存在。通常狀態(tài)檢測(cè)防火墻所做的事情與此類似，只不過(guò)防火墻只攔截非法的數(shù)據(jù)包，而不主動(dòng)回應(yīng)。

對(duì)比主機(jī)以及防火墻在接收到ACK報(bào)文和SYN報(bào)文時(shí)所做動(dòng)作的復(fù)雜程度，顯然ACK報(bào)文帶來(lái)的負(fù)載要小得多。所以在實(shí)際環(huán)境中，只有當(dāng)攻擊程序每秒鐘發(fā)送ACK報(bào)文的速率達(dá)到一定的程度，才能使主機(jī)和防火墻的負(fù)載有大的變化。當(dāng)發(fā)包速率很大的時(shí)候，主機(jī)操作系統(tǒng)將耗費(fèi)大量的精力接收?qǐng)?bào)文、判斷狀態(tài)，同時(shí)要主動(dòng)回應(yīng)RST報(bào)文，正常的數(shù)據(jù)包就可能無(wú)法得到及時(shí)的處理。這時(shí)候客戶端（以IE為例）的表現(xiàn)就是訪問(wèn)頁(yè)面反應(yīng)很慢，丟包率較高。但是狀態(tài)檢測(cè)的防火墻通過(guò)判斷ACK報(bào)文的狀態(tài)是否合法，借助其強(qiáng)大的硬件能力可以較為有效的過(guò)濾攻擊報(bào)文。當(dāng)然如果攻擊流量非常大（特別是千兆線路上，我們?cè)?jīng)觀察到200~300Mbps左右的ACK Flood），由于需要維護(hù)很大的連接狀態(tài)表同時(shí)要檢查數(shù)量巨大的ACK報(bào)文的狀態(tài)，防火墻也會(huì)不堪重負(fù)導(dǎo)致全網(wǎng)癱瘓。

3，死亡之ping (pingofdeath)

ICMP(InternetControlMessageProtocol，Internet控制信息協(xié)議)在Internet上用于錯(cuò)誤處理和傳遞控制信息。最普通的ping程序就是這個(gè)功能。而在TCP/IP的RFC文檔中對(duì)包的最大尺寸都有嚴(yán)格限制規(guī)定，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB，且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)。"PingofDeath"就是故意產(chǎn)生畸形的測(cè)試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過(guò)ICMP上限，也就是加載的尺寸超過(guò)64KB上限，使未采取保護(hù)措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終接收方宕機(jī)。

防御方法

1、用高級(jí)設(shè)置法預(yù)防Ping
2、用網(wǎng)絡(luò)防火墻阻隔Ping
使用防火墻來(lái)阻隔Ping是最簡(jiǎn)單有效的方法，現(xiàn)在基本上所有的防火墻在默認(rèn)情況下都啟用了ICMP過(guò)濾的功能。
3、啟用IP安全策略防Ping
4、修改TTL值防Ping
許多入侵者喜歡用TTL值來(lái)判斷操作系統(tǒng)，他們首先會(huì)Ping一下你的機(jī)子，如看到TTL值為128就認(rèn)為你的系統(tǒng)為Windows NT/2000，如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98，
如果為TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既然入侵者相信TTL值所反應(yīng)出來(lái)的結(jié)果，那么我們不妨修改TTL值來(lái)欺騙入侵者，達(dá)到保護(hù)系統(tǒng)的目的
5、防火墻在處理Ping of Death攻擊報(bào)文時(shí)，是通過(guò)判定數(shù)據(jù)包的大小是否大于65535字節(jié)，如果數(shù)據(jù)包大于65535字節(jié)，則判定為攻擊報(bào)文，直接丟棄。

4、UDP泛洪

UDPflood攻擊：如今在Internet上UDP（用戶數(shù)據(jù)包協(xié)議）的應(yīng)用比較廣泛，很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認(rèn)打開(kāi)一些被黑客惡意利用的UDP服務(wù)。如echo服務(wù)會(huì)顯示接收到的每一個(gè)數(shù)據(jù)包，而原本作為測(cè)試功能的chargen服務(wù)會(huì)在收到每一個(gè)數(shù)據(jù)包時(shí)隨機(jī)反饋一些字符。UDPflood假冒攻擊就是利用這兩個(gè)簡(jiǎn)單的TCP/IP服務(wù)的漏洞進(jìn)行惡意攻擊，通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，通過(guò)將Chargen
和Echo服務(wù)互指，來(lái)回傳送毫無(wú)用處且占滿帶寬的垃圾數(shù)據(jù)，在兩臺(tái)主機(jī)之間生成足夠多的無(wú)用數(shù)據(jù)流，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。

防御方法

UDP協(xié)議與TCP 協(xié)議不同，是無(wú)連接狀態(tài)的協(xié)議，并且UDP應(yīng)用協(xié)議五花八門，差異極大，因此針對(duì)UDP Flood的防護(hù)非常困難。其防護(hù)要根據(jù)具體情況對(duì)待：

(1) 判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據(jù)攻擊包大小設(shè)定包碎片重組大小，通常不小于1500.在極端情況下，可以考慮丟棄所有UDP碎片。

(2)攻擊端口為業(yè)務(wù)端口：根據(jù)該業(yè)務(wù)UDP最大包長(zhǎng)設(shè)置UDP最大包大小以過(guò)濾異常流量。

(3)攻擊端口為非業(yè)務(wù)端口：一個(gè)是丟棄所有UDP包，可能會(huì)誤傷正常業(yè)務(wù);一個(gè)是建立UDP連接規(guī)則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過(guò)這種方法需要很專業(yè)的防火墻或其他防護(hù)設(shè)備支持。

5、Land（LandAttack）攻擊

在Land攻擊中，黑客利用一個(gè)特別打造的SYN包--它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址進(jìn)行攻擊。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息， 結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)，在Land攻擊下，許多UNIX將崩潰，NT變得極其緩慢（大約持續(xù)五分鐘）。

防御方法

防火墻在處理Land攻擊報(bào)文時(shí)，通過(guò)檢查TCP報(bào)文的源地址和目的地址是否相同，或者TCP報(bào)文的源地址是否為環(huán)回地址，如果是則丟棄。

6、淚滴攻擊

對(duì)于一些大的IP數(shù)據(jù)包，往往需要對(duì)其進(jìn)行拆分傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個(gè)6 000字節(jié)的IP包，在MTU為2 000的鏈路上傳輸?shù)臅r(shí)候，就需要分成3個(gè)IP 包。在IP報(bào)頭中有一個(gè)偏移字段和一個(gè)拆分標(biāo)志（MF）。如果MF標(biāo)志設(shè)置為1，則表示這個(gè)IP包是一個(gè)大IP包的片段，其中偏移字段指出了這個(gè)片段在整個(gè)IP包中的位置。例如，對(duì)一個(gè)6 000字 節(jié)的IP包進(jìn)行拆分（MTU為2 000），則3個(gè)片段中偏移字段的值依次為0，2 000，4 000。這樣接收端在全部接收完IP數(shù)據(jù)包后，就可以根據(jù)這些信息重新組裝這幾個(gè)分次接收的拆分IP包。在這 里就有一個(gè)安全漏洞可以利用了，就是如果黑客們?cè)诮厝P數(shù)據(jù)包后，把偏移字段設(shè)置成不正確的值，這樣接收端在收到這些分拆的數(shù)據(jù)包后，就不能按數(shù)據(jù)包中的偏移字段值正確組合這些拆分的數(shù)據(jù)包，但接收端會(huì)不斷嘗試，這樣就可能致使目標(biāo)計(jì)算機(jī)操作系統(tǒng)因資源耗盡而崩潰。

防御方法

檢測(cè)這類攻擊的方法是對(duì)接收到的分片數(shù)據(jù)包進(jìn)行分析，計(jì)算數(shù)據(jù)包的片偏移量（Offset）是否有誤。反攻擊的方法是添加系統(tǒng)補(bǔ)丁程序，丟棄收到的病態(tài)分片數(shù)據(jù)包并對(duì)這種攻擊進(jìn)行審計(jì)。盡可能采用最新的操作系統(tǒng)，或者在防火墻上設(shè)置分段重組功能，由防火墻先接收到同一原包中的所有拆分?jǐn)?shù)據(jù)包，然后完成重組工作，而不是直接轉(zhuǎn)發(fā)。因?yàn)榉阑饓ι峡梢栽O(shè)置當(dāng)出現(xiàn)重疊字段時(shí)所采用的規(guī)則。

7、IP地址掃描攻擊

IP地址掃描攻擊是攻擊者運(yùn)用ICMP報(bào)文（如Ping和Tracert命令）探測(cè)目標(biāo)地址，或者使用TCP/UDP報(bào)文對(duì)一定地址發(fā)起連接，通過(guò)判斷是否有應(yīng)答報(bào)文，以確定哪些目標(biāo)系統(tǒng)確實(shí)存活著并且連接在目標(biāo)網(wǎng)絡(luò)上。

防御方法

防火墻對(duì)收到的TCP、UDP、ICMP報(bào)文進(jìn)行檢測(cè)，當(dāng)某源IP地址連續(xù)發(fā)送報(bào)文的目的IP地址與前一個(gè)報(bào)文的目的IP地址不同時(shí)，則記為一次異常，當(dāng)異常次數(shù)超過(guò)預(yù)定義的閾值時(shí)，則認(rèn)為該源IP的行為為IP地址掃描行為，防火墻會(huì)將該源IP地址加入黑名單。

8、Smurf攻擊

Smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包，來(lái)淹沒(méi)受害主機(jī)，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

攻擊的過(guò)程是這樣的：Woodlly Attacker向一個(gè)具有大量主機(jī)和因特網(wǎng)連接的網(wǎng)絡(luò)的廣播地址發(fā)送一個(gè)欺騙性Ping分組（echo 請(qǐng)求），這個(gè)目標(biāo)網(wǎng)絡(luò)被稱為反彈站點(diǎn)，而欺騙性Ping分組的源地址就是Woolly希望攻擊的系統(tǒng)。

這種攻擊的前提是，路由器接收到這個(gè)發(fā)送給IP廣播地址（如206.121.73.255）的分組后，會(huì)認(rèn)為這就是廣播分組，并且把以太網(wǎng)廣播地址FF:FF:FF:FF:FF:FF:映射過(guò)來(lái)。這樣路由器因因特網(wǎng)上接收到該分組，會(huì)對(duì)本地網(wǎng)段中的所有主機(jī)進(jìn)行廣播。

讀者肯定能夠想到下面會(huì)發(fā)生什么情況。網(wǎng)段中的所有主機(jī)都會(huì)向欺騙性分組的IP地址發(fā)送echo響應(yīng)信息。如果這是一個(gè)很大的以太網(wǎng)段，可以會(huì)有500個(gè)以上的主機(jī)對(duì)收到的echo請(qǐng)求進(jìn)行回復(fù)。

由于多數(shù)系統(tǒng)都會(huì)盡快地處理ICMP傳輸信息，Woodlly Attacker把分組的源地址設(shè)置為目標(biāo)系統(tǒng)，因此目標(biāo)系統(tǒng)都很快就會(huì)被大量的echo信息吞沒(méi)，這樣輕而易舉地就能夠阻止該系統(tǒng)處理其它任何網(wǎng)絡(luò)傳輸，從而引起拒絕為正常系統(tǒng)服務(wù)。

這種攻擊不僅影響目標(biāo)系統(tǒng)，還影響目標(biāo)公司的因特網(wǎng)連接。如果反彈站點(diǎn)具有T3連接（45Mbps），而目標(biāo)系統(tǒng)所在的公司使用的是租用線路（56Kbps），則所有進(jìn)出該公司的通訊都會(huì)停止下來(lái)。

這種攻擊現(xiàn)在已經(jīng)很少見(jiàn),大多數(shù)的網(wǎng)絡(luò)已經(jīng)對(duì)這種攻擊免疫了.

防御方法

配置路由器禁止IP廣播包進(jìn)網(wǎng)
配置網(wǎng)絡(luò)上所有計(jì)算機(jī)的操作系統(tǒng)，禁止對(duì)目標(biāo)地址為廣播地址的ICMP包響應(yīng)。
被攻擊目標(biāo)與ISP協(xié)商，有ISP暫時(shí)阻止這些流量。

對(duì)于從本網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包，本網(wǎng)絡(luò)應(yīng)該將其源地址為其他網(wǎng)絡(luò)的這部分?jǐn)?shù)據(jù)包過(guò)

9、Fraggle攻擊

類似于Smurf，使用UDP應(yīng)答消息而非ICMP。UDP端口7（ECHO）和端口19（Chargen）在收到UDP報(bào)文后，都會(huì)產(chǎn)生回應(yīng)。在UDP的7號(hào)端口收到報(bào)文后，會(huì)回應(yīng)收到的內(nèi)容，而UDP的19號(hào)端口在收到報(bào)文后，會(huì)產(chǎn)生一串字符流。它們都同ICMP一樣，會(huì)產(chǎn)生大量無(wú)用的應(yīng)答報(bào)文，占滿網(wǎng)路帶寬。攻擊者可以向子網(wǎng)廣播地址發(fā)送源地址為受害網(wǎng)絡(luò)或受害主機(jī)的UDP包，端口號(hào)用7或19.子網(wǎng)絡(luò)啟用了此功能的每個(gè)系統(tǒng)都會(huì)向受害者的主機(jī)做出響應(yīng)，從而引發(fā)大量的包，導(dǎo)致受害網(wǎng)絡(luò)的阻塞或受害主機(jī)的崩潰；子網(wǎng)上沒(méi)有啟動(dòng)這些功能的系統(tǒng)將產(chǎn)生一個(gè)ICMP不可達(dá)的消息，因而仍然消耗帶寬。也可將源端口改為Chargen。目的端口為ECHO，這樣會(huì)自動(dòng)不停地產(chǎn)生回應(yīng)報(bào)文，其危害性更大。

防御方法

檢查進(jìn)入防火墻的UDP報(bào)文，若目的端口號(hào)為7或19，則直接拒絕，并將攻擊記錄到日志，否則允許通過(guò)。

10、電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。

防御方法

對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息。

11、畸形消息攻擊

各類操作系統(tǒng)上的許多服務(wù)都存在此類問(wèn)題，由于這些服務(wù)在處理信息之前沒(méi)有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，在收到畸形的信息可能會(huì)崩潰。

防御方法

打最新的服務(wù)補(bǔ)丁。