如何理解網路攻擊問題

⑴ 如何理解 Norse 網站顯示的實時網路攻擊

網路攻擊是近來常發生的問題，可以分為遭受外網攻擊及內網攻擊。以下分別說明: 1、外部來的DoS攻擊會造成網路掉線，判別方法是從路由器的系統日誌文件中可以看出，Qno俠諾的路由器會顯示遭受攻擊，而且路由器持續在工作。其它品牌的路由器，有些也有相關的功能，用戶可以查看使用手冊。DoS病毒攻擊，如SYN攻擊，因為發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，達到癱瘓網吧網路對於廣域網來的攻擊，路由器能作的不多，也無法反擊。此時，網吧管理者或網管應直接聯系對應的運營商，請求更換WAN IP。 2、內網遭受DoS攻擊時，也會造成掉線或壅塞。網吧管理者或網管可以從被激活的告警日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止DoS攻擊影響擴大，並進行殺毒或重新安裝系統。 3、內網遭受沖擊波攻擊是另一個原因，沖擊波攻擊，是針對網路特定服務埠(TCP/UDP 135~139，445)發出大量數據包導致系統資源佔用過多，使路由器損耗效能造成網路壅塞，以達到癱瘓網吧網路的目的。同樣網吧管理者或網管可以從Qno俠諾被激活的告警日誌中，發現問題。 網吧管理者或網管可以針對特定服務埠(TCP/UDP 135~139，445)設置網路存取條例，並從被激活的防火牆日誌中，查找到內網攻擊源頭的中毒機器，第一時間先拔除PC機網路線，阻止沖擊波攻擊影響擴大，並進行殺毒或重新安裝系統。 4、內網遭受ARP攻擊是最近常發生的原因，ARP病毒攻擊以竄改內網PC機或路由器 IP或MAC地址，來達到盜取用戶賬號/密碼，進一步進行網路盜寶等犯罪行為，或是惡意癱瘓網吧網路。ARP病毒攻擊會造成內網IP或MAC沖突，出現短時間內部份斷線。網吧要確定網吧已做好Qno俠諾路由器及內網PC機端雙向綁定IP/MAC地址的防制工作，內網所有的PC機與路由器IP/MAC地址對應關系都被保存到路由器的ARP緩存表中，不能被輕易更改。此時ARP攻擊雖然並不會擴及其它PC機，但網吧管理者或網管還是必須立即查找出內網攻擊源頭的中毒機器，進行殺毒或重新安裝系統。路由器內建ARP病毒來源自動檢測工具，系統日誌中可提供攻擊源的IP或MAC地址，幫助網吧進行查找攻擊源機器。有些高階路由器也都有相仿的設計。 網路遭受攻擊，可從路由器相關功能找出遭受攻擊類型，網吧管理者或網管查找、直擊攻擊源加以隔離與排除，在攻擊發起時即能迅速加以解決，無需等到客人反應受到影響。 另外網路的雍堵也可能造成掉線. 1、短暫網路壅塞，有可能是網吧內突發的帶寬高峰，網吧管理員或網管應關注路由器的帶寬統計，可先持續關注狀況。若是尖峰時段，網吧客人較多，帶寬也會比較吃緊，或是有用戶使用BT、P2P軟體做大量上傳，佔用大量帶寬，造成網路卡。網吧管理員或網管此時應設置QoS流量管理規范內網用戶最大使用帶寬，才能讓網路聯機恢復正常，解決壅塞情況。 2、尖峰時段持續性壅塞，是有用戶使用BT、P2P 軟體進行大量下載，或在線觀看電影、視訊等佔用大量帶寬行為。若是用戶觀看電影人數很多，網吧應考慮於內網安裝電影伺服器供用戶使用，才不致因觀看影片人多佔用對外帶寬。對於大量下載，則應考慮建置內部私服加以改善。 3、若是長時間從路由器看到帶寬佔用率高，有可能表示網吧根本帶寬不足，線路帶寬過小，不足以提供目前在線眾多人數使用，應考慮加大線路帶寬。這時就可利用多WAN口特性進行帶寬的升級，解決帶寬不足的問題。 措施:基於路由器的防範方法 一．內部PC基於IP地址限速 現在網路應用眾多，BT、電驢、迅雷、FTP、在線視頻等，都是非常佔用帶寬，以一個200台規模的網吧為例，出口帶寬為10M，每台內部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載，把帶寬都佔用了，就會影響其他人的網路速度了，另外，下載的都是大文件，IP報文最大可以達到1518個BYTE，也就是1.5k，下載應用都是大報文，在網路傳輸中，一般都是以數據包為單位進行傳輸，如果幾個人在同時下載，佔用大量帶寬，如果這時有人在玩網路游戲，就可能會出現卡的現象。 一個基於IP地址限速的功能，可以給整個網吧內部的所有PC進行速度限制，可以分別限制上傳和下載速度，既可以統一限制內部所有PC的速度，也可以分別設置內部某台指定PC的速度。速度限制在多少比較合適呢？和具體的出口帶寬和網吧規模有關系，不過最低不要小於40K的帶寬，可以設置在100-400K比較合適。 二：內部PC限制NAT的鏈接數量 NAT功能是在網吧中應用最廣的功能，由於IP地址不足的原因，運營商提供給網吧的一般就是1個IP地址，而網吧內部有大量的PC，這么多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢？ 答案就是NAT（網路IP地址轉換）。內部PC訪問外網的時候，在路由器內部建立一個對應列表，列表中包含內部PCIP地址、訪問的外部IP地址，內部的IP埠，訪問目的IP埠等信息，所以每次的ping、QQ、下載、WEB訪問，都有在路由器上建立對應關系列表，如果該列表對應的網路鏈接有數據通訊，這些列表會一直保留在路由器中，如果沒有數據通訊了，也需要20-150秒才會消失掉。（對於RG-NBR系列路由器來說，這些時間都是可以設置的） 現在有幾種網路病毒，會在很短時間內，發出數以萬計連續的針對不同IP的鏈接請求，這樣路由器內部便要為這台PC建立萬個以上的NAT的鏈接。 由於路由器上的NAT的鏈接是有限的，如果都被這些病毒給佔用了，其他人訪問網路，由於沒有NAT鏈接的資源了，就會無法訪問網路了，造成斷線的現象，其實這是被網路病毒把所有的NAT資源給佔用了。 針對這種情況，不少網吧路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能，可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置，也可以給每台PC進行單獨限制。 同時，這些路由器還可以查看所有的NAT鏈接的內容，看看到底哪台PC佔用的NAT鏈接數量最多，同時網路病毒也有一些特殊的埠，可以通過查看NAT鏈接具體內容，把到底哪台PC中毒了給揪出來。 三：ACL防網路病毒 網路病毒層出不窮，但是道高一尺，魔高一丈，所有的網路病毒都是通過網路傳輸的，網路病毒的數據報文也一定遵循TCP/IP協議，一定有源IP地址，目的IP地址，源TCP/IP埠，目的TCP/IP埠，同一種網路病毒，一般目的IP埠是相同的，比如沖擊波病毒的埠是135，震盪波病毒的埠是445,只要把這些埠在路由器上給限制了，那麼外部的病毒就無法通過路由器這個唯一的入口進入到內部網了，內部的網路病毒發起的報文，由於在路由器上作了限制，路由器不加以處理，則可以降低病毒報文占據大量的網路帶寬。 優秀的網吧路由器應該提供功能強大的ACL功能，可以在內部網介面上限制網路報文，也可以在外部王介面上限制病毒網路報文，既可以現在出去的報文，也可以限制進來的網路報文。 四：WAN口防ping功能 以前有一個帖子，為了搞跨某個網站，只要有大量的人去ping這個網站，這個網站就會跨了，這個就是所謂的拒絕服務的攻擊，用大量的無用的數據請求，讓他無暇顧及正常的網路請求。 網路上的黑客在發起攻擊前，都要對網路上的各個IP地址進行掃描，其中一個常見的掃描方法就是ping，如果有應答，則說明這個ip地址是活動的，就是可以攻擊的，這樣就會暴露了目標，同時如果在外部也有大量的報文對RG-NBR系列路由器發起Ping請求，也會把網吧的RG-NBR系列路由器拖跨掉。 現在多數網吧路由器都設計了一個WAN口防止ping的功能，可以簡單方便的開啟，所有外面過來的ping的數據報文請求，都裝聾作啞，這樣既不會暴露自己的目標，同時對於外部的ping攻擊也是一個防範。 五：防ARP地址欺騙功能 大家都知道，內部PC要上網，則要設置PC的IP地址，還有網關地址，這里的網關地址就是NBR路由器的內部網介面IP地址，內部PC是如何訪問外部網路呢？就是把訪問外部網的報文發送給NBR的內部網，由NBR路由器進行NAT地址轉發後，再把報文發送到外部網路上，同時又把外部回來的報文，去查詢路由器內部的NAT鏈接，回送給相關的內部PC，完成一次網路的訪問。 在網路上，存在兩個地址，一個是IP地址，一個是MAC地址，MAC地址就是網路物理地址，內部PC要把報文發送到網關上，首先根據網關的IP地址，通過ARP去查詢NBR的MAC地址，然後把報文發送到該MAC地址上，MAC地址是物理層的地址，所有報文要發送，最終都是發送到相關的MAC地址上的。 所以在每台PC上，都有ARP的對應關系，就是IP地址和MAC地址的對應表，這些對應關系就是通過ARP和RARP報文進行更新的。 目前在網路上有一種病毒，會發送假冒的ARP報文，比如發送網關IP地址的ARP報文，把網關的IP對應到自己的MAC上，或者一個不存在的MAC地址上去，同時把這假冒的ARP報文在網路中廣播，所有的內部PC就會更新了這個IP和MAC的對應表，下次上網的時候，就會把本來發送給網關的MAC的報文，發送到一個不存在或者錯誤的MAC地址上去，這樣就會造成斷線了。 這就是ARM地址欺騙，這就是造成內部PC和外部網的斷線，該病毒在前一段時間特別的猖獗。針對這種情況，防ARP地址欺騙的功能也相繼出現在一些專業路由器產品上。 六：負載均衡和線路備份 舉例來說，如銳捷RG-NBR系列路由器全部支持VRRP熱備份協議，最多可以設定2-255台的NBR路由器，同時鏈接2-255條寬頻線路，這些NBR和寬頻線路之間，實現負載均衡和線路備份，萬一線路斷線或者網路設備損壞，可以自動實現的備份，在線路和網路設備都正常的情況下，便可以實現負載均衡。該功能在銳捷的所有的路由器上都支持。 而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2個WAN口，如果有需要，還有一個模塊擴展插槽，可以插上電口或者光介面模塊，同時鏈接3條寬頻線路，這3條寬頻線路之間，可以實現負載均衡和線路備份，可以基於帶寬的負載均衡，也可以對內部PC進行分組的負載均衡，還可以設置訪問網通資源走網通線路，訪問電信資源走電信線路的負載均衡。

⑵ 怎樣看待網路語言暴力

面對網路暴力攻擊，對於施暴者來說，僅僅是一種負面情緒的發泄，一種變相欺凌取得的快感。他們絕對不去知道或者想知道，作為被害者而言，這種無形的暴力傷害也會和現實中的暴力侵害帶來同等的傷害，無論是精神還是肉體上，傷痛帶來的負面影響是久久不能癒合。在面對飛來的橫禍網路暴力攻擊時，不要做出只能傷害自己和家人的蠢事。而是盡快搜集暴擊者留下的證據，用法律來維護自身的權益。網路上的語言暴力是低成本的，甚至是無成本，只需要動動手指就可以做到，但是所產生的影響卻是巨大的。侵犯他人隱私，公然誹謗他人、侮辱他人人格，用謠言混淆視聽……種種網路語言暴力的行為已對社會造成了嚴重危害，任何一個人都可能變成下一個受害者。面對惡語相向的文字，連明星都無法承受，更何況我們這些普通人。 在互聯網匿名的掩護下，惡意濫用的人肉搜索、似是而非的謠言和刻薄殘忍的人身攻擊，正不斷地侵犯著人們的基本權利，不斷沖擊著道德和法律的底線。這些謠言不僅侮辱了當事人名譽和人格，損害了網路公信力，甚至成為觸發某些公共事件以致影響社會穩定的重要因素。 網路語言暴力簡陋、粗俗，而且有極強的再生能力，要徹底根除尚屬不易。可預見的是，伴隨社會發展，網路語言暴力存在不斷升級、不斷創生的可能，將來其還有更多的表現形式。 民眾的表達權和言論自由需要保障，但是無端侵犯他人隱私權，公然誹謗他人、侮辱他人人格，用謠言混淆公眾視聽，這樣的「噪音」當然必須努力加以控制、清除。不能再讓網路語言暴力成為個人或社會的隱形殺手，社會需要一個干凈文明的交流環境。網路社會跟現實社會一樣，需要約束和規范。 75年前，年僅25歲的阮玲玉在悲憤中離開了人世，身後只留下「人言可畏」四個字。希望大家在評論人與事時，做到：慎思謹言，不要再讓語言暴力所釀造成的悲劇再發生。君子有所為而有所不為，正是有所不為，人才顯得優雅和高貴。

⑶ 什麼是網路攻擊怎樣防止

網路攻擊又可分為主動攻擊和被動攻擊。

◆ 被動攻擊

被動攻擊就是網路竊聽，截取數據包並進行分析，從中竊取重要的敏感信息。被動攻擊很難被發現，因此預防很重要，防止被動攻擊的主要手段是數據加密傳輸。為了保護網路資源免受威脅和攻擊，在密碼學及安全協議的基礎上發展了網路安全體系中的五類安全服務，它們是：身份認證、訪問控制、數據保密、數據完整性和不可否認。對這五類安全服務，國際標准化組織ISO已經有了明確的定義。

◆ 主動攻擊包括竊取、篡改、假冒和破壞。

主動攻擊包括竊取、篡改、假冒和破壞。字典式口令猜測，IP地址欺騙和服務拒絕攻擊等等都屬於主動攻擊。一個好的身份認證系統(包括數據加密、數據完整性校驗、數字簽名和訪問控制等安全機制)可以用於防範主動攻擊，但要想杜絕主動攻擊很困難，因此對付主動攻擊的另一措施是及時發現並及時恢復所造成的破壞，現在有很多實用的攻擊檢測工具。

最好的防禦方法是高性能的防火牆，如果黑客們不能向每一台機器發送數據包，該機器就不容易被入侵。

⑷ 趙磊談被人身攻擊的感受，你如何看待網路上的人身攻擊行為

趙磊談被人身攻擊的感受，對於網路上的人身攻擊行為，我們應該採取不一樣的態度來看待這個事情，如果你不能有一個合理的態度來面對網路攻擊的話，就會給自己的心理和生活帶來巨大的危害。我們國家的經濟實力在不斷的提高，那麼隨之而來的就是一些電子設備在不斷的發展。在這樣的前提條件下，大家的生活水平也是有了顯著的提高，同時每一個人都擁有電子設備，隨著電子設備的普及，現在已經有很多交流平台出現，大家可以在網路上隨意的發言，這樣所帶來的嚴重後果就是我們要注意網路上別人的一些言語會給我們的生活帶來怎樣的困擾。
其次，人身攻擊確實是一個不好的行為，我們應該杜絕這樣的現象再次發生，凈化網路環境就成了每個人的責任，只有每一個人都付出自己的努力，才能夠保障網路環境越來越平和，也讓網路更多的便利我們的生活。

⑸ 電腦總是受到網路攻擊，是怎麼回事如何處理

解決問題我給答;
1首先受ARP攻擊說明網路面IP址斷發送廣播包導致網關解析MAC址非PC-MAC址
2路由器面找綁定ARP表項獲取IP址電腦MAC址打進進行綁定台PCARP攻擊
3建議路由器密碼換掉-能密碼安全要admin用戶名否則強制破解
4查看ip址MAC運行面打CMD彈框敲ipconfig/all查看
意思沒仔細看全
您冒充網關導致所要查看路由器面ARP表應攻擊者MAC址打進防火牆進行隔離

⑹ 常見的網路攻擊應如何應對

網路攻擊是不可避免的。我們應該加強自身的網路防範安全意識，從自身杜絕不安全的來源，盡量不隨意去點擊和下載不安全的網頁鏈接。

⑺ 怎麼理解DOS和DDOS攻擊 又該如何防範

• 我們常說的一般是指DOS(Denial of Service)攻擊，即拒絕服務，其主要危害是使計算機或網路無法提供正常的服務。

• 對於DDOS(Distributed Denial of Service)攻擊來說，即「分布式拒絕服務」，它是屬於DoS攻擊的一種。DDOS攻擊主要是將多個計算機聯合起來，並對一個或多個目標計算機/伺服器發動攻擊，從而攻擊的威力會成倍增加。

• 雖然都是拒絕服務攻擊，但DOS和DDOS攻擊還是有一定區別的。DOS攻擊側重於通過對伺服器特定的漏洞，利用DOS攻擊導致網路連接失敗、系統崩潰、電腦死機等情況的發生。而DDOS攻擊則通過很多「僵屍主機」向目標主機發送大量「看似」合法的流量包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務。

• 平常我們在租用伺服器時，一般機房遭到攻擊大多屬於DOS攻擊，這個會使整個伺服器崩潰、宕機。當然，如果是我們個人主機遭到攻擊(主要是DDOS攻擊)的話，那麼，會消耗大量的伺服器資源，例如流量和帶寬，這種情況機房那邊也會封停你的賬戶的。

• 隨著DOS和DDOS攻擊事件的頻發，防範工作就顯得迫在眉睫了。尤其是對於咱們租用伺服器的站長來說，防範DOS和DDOS攻擊不能僅僅依靠主機商或者數據機房，更應該加強自身的網路安全防範意識。

• 當然，對付DOS和DDOS攻擊是一個系統性工程，做好安全防範肯定是可以。不過，要想完全杜絕的話，有點不大現實。目前，很多主機商為解決這一問題，都提供高防伺服器產品，也就是增強抵禦DOS和DDOS攻擊的能力，其效果也很顯著。

• 現在每天都有很多網站遭受到DDOS攻擊，相關的數據丟失、連帶責任糾紛、商業損失等等問題也層出不窮。為此，作為站長來說，咱們在租用海外伺服器時，應該注重以下幾點，以便做好DOS和DDOS攻擊的安全防範工作。

• 帶寬資源要充足。帶寬直接決定了抗DDOS攻擊的能力，以目前主流的5M、100帶寬的伺服器來說，無論採取那種措施都很難應對。當下，至少要選擇100M帶寬的，越多越好。例如，RAKsmart美國高防伺服器基本都是100M帶寬、10T流量，基本能到底10G DDoS防護能力。

• 伺服器的硬體配置。在帶寬以及流量有充分保障的前提下，伺服器的硬體配置必須的跟上。當然，主要的因素還是CPU和內存，大家在選擇時千萬別貪圖便宜。其實，現在能夠高防禦DDOS攻擊的伺服器價格也不貴，為了網站的數據安全著想，大家也別吝嗇這一點費用。

• 規范自身操作設置。對於DOS和DDOS攻擊的防範，主要的防禦能力還是取決於伺服器以及機房本身。但是，對於咱們用戶來說，也需要做到安全操作才行。例如，不要上傳陌生、特殊後綴名的文件到伺服器上、不要點擊來歷不明的鏈接、不安裝來路不明的軟體，從而杜絕因自身操作問題而導致伺服器被攻擊。同時，最好是定期對網站的文件進行安全掃描，這樣對新出現的漏洞、病毒文件也能及時的發現並清理。

• 11

  機房防火牆的配置。一般來說，在骨幹節點配置防火牆的話，能有效抵禦DOS和DDOS攻擊。因為防火牆在發現受到攻擊時，可以將攻擊導向一些「無用」的伺服器，這樣可以保護運行中的伺服器不被攻擊。因此，機房的防火牆配置也很重要，大家在租用伺服器時，建議選擇防火牆性能配置比較高、比較完善的數據機房，這樣對網站數據安全也多帶來一層安全防護。

• 12

  隨著互聯網的不斷發展，網路安全問題也日益凸出，DOS和DDOS攻擊也越來越多。同時，出於商業競爭、網路勒索等多種原因，導致很多IDC機房、電商網站、游戲伺服器等網路服務業長期受到網路攻擊的困擾。因此，解決DOS和DDOS等網路攻擊已成為IDC行業必須要考慮並解決的頭等大事。

⑻ 網路攻擊的一般原理和方法是什麼

下載：http://download.csdn.net/source/274376
常見網路攻擊原理

1.1 TCP SYN拒絕服務攻擊

一般情況下，一個TCP連接的建立需要經過三次握手的過程，即：

1、 建立發起者向目標計算機發送一個TCP SYN報文；

2、 目標計算機收到這個SYN報文後，在內存中創建TCP連接控制塊（TCB），然後向發起者回送一個TCP ACK報文，等待發起者的回應；

3、 發起者收到TCP ACK報文後，再回應一個ACK報文，這樣TCP連接就建立起來了。
利用這個過程，一些惡意的攻擊者可以進行所謂的TCP SYN拒絕服務攻擊：

1、 攻擊者向目標計算機發送一個TCP SYN報文；

2、 目標計算機收到這個報文後，建立TCP連接控制結構（TCB），並回應一個ACK，等待發起者的回應；

3、 而發起者則不向目標計算機回應ACK報文，這樣導致目標計算機一致處於等待狀態。
可以看出，目標計算機如果接收到大量的TCP SYN報文，而沒有收到發起者的第三次ACK回應，會一直等待，處於這樣尷尬狀態的半連接如果很多，則會把目標計算機的資源（TCB控制結構，TCB，一般情況下是有限的）耗盡，而不能響應正常的TCP連接請求。

1.2 ICMP洪水

正常情況下，為了對網路進行診斷，一些診斷程序，比如PING等，會發出ICMP響應請求報文（ICMP ECHO），接收計算機接收到ICMP ECHO後，會回應一個ICMP ECHO Reply報文。而這個過程是需要CPU處理的，有的情況下還可能消耗掉大量的資源，比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文（產生ICMP洪水），則目標計算機會忙於處理這些ECHO報文，而無法繼續處理其它的網路數據報文，這也是一種拒絕服務攻擊（DOS）。

1.3 UDP洪水

原理與ICMP洪水類似，攻擊者通過發送大量的UDP報文給目標計算機，導致目標計算機忙於處理這些UDP報文而無法繼續處理正常的報文。

1.4 埠掃描

根據TCP協議規范，當一台計算機收到一個TCP連接建立請求報文（TCP SYN）的時候，做這樣的處理：

1、 如果請求的TCP埠是開放的，則回應一個TCP ACK報文，並建立TCP連接控制結構（TCB）；
2、 如果請求的TCP埠沒有開放，則回應一個TCP RST（TCP頭部中的RST標志設為1）報文，告訴發起計算機，該埠沒有開放。

相應地，如果IP協議棧收到一個UDP報文，做如下處理：

1、 如果該報文的目標埠開放，則把該UDP報文送上層協議（UDP）處理，不回應任何報文（上層協議根據處理結果而回應的報文例外）；
2、 如果該報文的目標埠沒有開放，則向發起者回應一個ICMP不可達報文，告訴發起者計算機該UDP報文的埠不可達。

利用這個原理，攻擊者計算機便可以通過發送合適的報文，判斷目標計算機哪些TCP或UDP埠是開放的，過程如下：

1、 發出埠號從0開始依次遞增的TCP SYN或UDP報文（埠號是一個16比特的數字，這樣最大為65535，數量很有限）；
2、 如果收到了針對這個TCP報文的RST報文，或針對這個UDP報文的ICMP不可達報文，則說明這個埠沒有開放；
3、 相反，如果收到了針對這個TCP SYN報文的ACK報文，或者沒有接收到任何針對該UDP報文的ICMP報文，則說明該TCP埠是開放的，UDP埠可能開放（因為有的實現中可能不回應ICMP不可達報文，即使該UDP埠沒有開放）。

這樣繼續下去，便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠，然後針對埠的具體數字，進行下一步攻擊，這就是所謂的埠掃描攻擊。

1.5 分片IP報文攻擊

為了傳送一個大的IP報文，IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片，通過填充適當的IP頭中的分片指示欄位，接收計算機可以很容易的把這些IP分片報文組裝起來。
目標計算機在處理這些分片報文的時候，會把先到的分片報文緩存起來，然後一直等待後續的分片報文，這個過程會消耗掉一部分內存，以及一些IP協議棧的數據結構。如果攻擊者給目標計算機只發送一片分片報文，而不發送所有的分片報文，這樣攻擊者計算機便會一直等待（直到一個內部計時器到時），如果攻擊者發送了大量的分片報文，就會消耗掉目標計算機的資源，而導致不能相應正常的IP報文，這也是一種DOS攻擊。

1.6 SYN比特和FIN比特同時設置

在TCP報文的報頭中，有幾個標志欄位：
1、 SYN：連接建立標志，TCP SYN報文就是把這個標志設置為1，來請求建立連接；
2、 ACK：回應標志，在一個TCP連接中，除了第一個報文（TCP SYN）外，所有報文都設置該欄位，作為對上一個報文的相應；
3、 FIN：結束標志，當一台計算機接收到一個設置了FIN標志的TCP報文後，會拆除這個TCP連接；
4、 RST：復位標志，當IP協議棧接收到一個目標埠不存在的TCP報文的時候，會回應一個RST標志設置的報文；
5、 PSH：通知協議棧盡快把TCP數據提交給上層程序處理。

正常情況下，SYN標志（連接請求標志）和FIN標志（連接拆除標志）是不能同時出現在一個TCP報文中的。而且RFC也沒有規定IP協議棧如何處理這樣的畸形報文，因此，各個操作系統的協議棧在收到這樣的報文後的處理方式也不同，攻擊者就可以利用這個特徵，通過發送SYN和FIN同時設置的報文，來判斷操作系統的類型，然後針對該操作系統，進行進一步的攻擊。

1.7 沒有設置任何標志的TCP報文攻擊

正常情況下，任何TCP報文都會設置SYN，FIN，ACK，RST，PSH五個標志中的至少一個標志，第一個TCP報文（TCP連接請求報文）設置SYN標志，後續報文都設置ACK標志。有的協議棧基於這樣的假設，沒有針對不設置任何標志的TCP報文的處理過程，因此，這樣的協議棧如果收到了這樣的報文，可能會崩潰。攻擊者利用了這個特點，對目標計算機進行攻擊。

1.8 設置了FIN標志卻沒有設置ACK標志的TCP報文攻擊

正常情況下，ACK標志在除了第一個報文（SYN報文）外，所有的報文都設置，包括TCP連接拆除報文（FIN標志設置的報文）。但有的攻擊者卻可能向目標計算機發送設置了FIN標志卻沒有設置ACK標志的TCP報文，這樣可能導致目標計算機崩潰。

1.9 死亡之PING

TCP/IP規范要求IP報文的長度在一定范圍內（比如，0－64K），但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文，導致目標計算機IP協議棧崩潰。

1.10 地址猜測攻擊

跟埠掃描攻擊類似，攻擊者通過發送目標地址變化的大量的ICMP ECHO報文，來判斷目標計算機是否存在。如果收到了對應的ECMP ECHO REPLY報文，則說明目標計算機是存在的，便可以針對該計算機進行下一步的攻擊。

1.11 淚滴攻擊

對於一些大的IP包，需要對其進行分片傳送，這是為了迎合鏈路層的MTU（最大傳輸單元）的要求。比如，一個4500位元組的IP包，在MTU為1500的鏈路上傳輸的時候，就需要分成三個IP包。
在IP報頭中有一個偏移欄位和一個分片標志（MF），如果MF標志設置為1，則表面這個IP包是一個大IP包的片斷，其中偏移欄位指出了這個片斷在整個IP包中的位置。例如，對一個4500位元組的IP包進行分片（MTU為1500），則三個片斷中偏移欄位的值依次為：0，1500，3000。這樣接收端就可以根據這些信息成功的組裝該IP包。

如果一個攻擊者打破這種正常情況，把偏移欄位設置成不正確的值，即可能出現重合或斷開的情況，就可能導致目標操作系統崩潰。比如，把上述偏移設置為0，1300，3000。這就是所謂的淚滴攻擊。

1.12 帶源路由選項的IP報文

為了實現一些附加功能，IP協議規范在IP報頭中增加了選項欄位，這個欄位可以有選擇的攜帶一些數據，以指明中間設備（路由器）或最終目標計算機對這些IP報文進行額外的處理。

源路由選項便是其中一個，從名字中就可以看出，源路由選項的目的，是指導中間設備（路由器）如何轉發該數據報文的，即明確指明了報文的傳輸路徑。比如，讓一個IP報文明確的經過三台路由器R1，R2，R3，則可以在源路由選項中明確指明這三個路由器的介面地址，這樣不論三台路由器上的路由表如何，這個IP報文就會依次經過R1，R2，R3。而且這些帶源路由選項的IP報文在傳輸的過程中，其源地址不斷改變，目標地址也不斷改變，因此，通過合適的設置源路由選項，攻擊者便可以偽造一些合法的IP地址，而矇混進入網路。

1.13 帶記錄路由選項的IP報文

記錄路由選項也是一個IP選項，攜帶了該選項的IP報文，每經過一台路由器，該路由器便把自己的介面地址填在選項欄位裡面。這樣這些報文在到達目的地的時候，選項數據裡面便記錄了該報文經過的整個路徑。
通過這樣的報文可以很容易的判斷該報文經過的路徑，從而使攻擊者可以很容易的尋找其中的攻擊弱點。

1.14 未知協議欄位的IP報文

在IP報文頭中，有一個協議欄位，這個欄位指明了該IP報文承載了何種協議 ，比如，如果該欄位值為1，則表明該IP報文承載了ICMP報文，如果為6，則是TCP，等等。目前情況下，已經分配的該欄位的值都是小於100的，因此，一個帶大於100的協議欄位的IP報文，可能就是不合法的，這樣的報文可能對一些計算機操作系統的協議棧進行破壞。

1.15 IP地址欺騙

一般情況下，路由器在轉發報文的時候，只根據報文的目的地址查路由表，而不管報文的源地址是什麼，因此，這樣就 可能面臨一種危險：如果一個攻擊者向一台目標計算機發出一個報文，而把報文的源地址填寫為第三方的一個IP地址，這樣這個報文在到達目標計算機後，目標計算機便可能向毫無知覺的第三方計算機回應。這便是所謂的IP地址欺騙攻擊。

比較著名的SQL Server蠕蟲病毒，就是採用了這種原理。該病毒（可以理解為一個攻擊者）向一台運行SQL Server解析服務的伺服器發送一個解析服務的UDP報文，該報文的源地址填寫為另外一台運行SQL Server解析程序（SQL Server 2000以後版本）的伺服器，這樣由於SQL Server 解析服務的一個漏洞，就可能使得該UDP報文在這兩台伺服器之間往復，最終導致伺服器或網路癱瘓。

1.16 WinNuke攻擊

NetBIOS作為一種基本的網路資源訪問介面，廣泛的應用於文件共享，列印共享，進程間通信（IPC），以及不同操作系統之間的數據交換。一般情況下，NetBIOS是運行在LLC2鏈路協議之上的，是一種基於組播的網路訪問介面。為了在TCP/IP協議棧上實現NetBIOS，RFC規定了一系列交互標准，以及幾個常用的TCP/UDP埠：

139：NetBIOS會話服務的TCP埠；
137：NetBIOS名字服務的UDP埠；
136：NetBIOS數據報服務的UDP埠。

WINDOWS操作系統的早期版本（WIN95/98/NT）的網路服務（文件共享等）都是建立在NetBIOS之上的，因此，這些操作系統都開放了139埠（最新版本的WINDOWS 2000/XP/2003等，為了兼容，也實現了NetBIOS over TCP/IP功能，開放了139埠）。

WinNuke攻擊就是利用了WINDOWS操作系統的一個漏洞，向這個139埠發送一些攜帶TCP帶外（OOB）數據報文，但這些攻擊報文與正常攜帶OOB數據報文不同的是，其指針欄位與數據的實際位置不符，即存在重合，這樣WINDOWS操作系統在處理這些數據的時候，就會崩潰。

1.17 Land攻擊

LAND攻擊利用了TCP連接建立的三次握手過程，通過向一個目標計算機發送一個TCP SYN報文（連接建立請求報文）而完成對目標計算機的攻擊。與正常的TCP SYN報文不同的是，LAND攻擊報文的源IP地址和目的IP地址是相同的，都是目標計算機的IP地址。這樣目標計算機接收到這個SYN報文後，就會向該報文的源地址發送一個ACK報文，並建立一個TCP連接控制結構（TCB），而該報文的源地址就是自己，因此，這個ACK報文就發給了自己。這樣如果攻擊者發送了足夠多的SYN報文，則目標計算機的TCB可能會耗盡，最終不能正常服務。這也是一種DOS攻擊。

1.18 Script/ActiveX攻擊

Script是一種可執行的腳本，它一般由一些腳本語言寫成，比如常見的JAVA SCRIPT，VB SCRIPT等。這些腳本在執行的時候，需要一個專門的解釋器來翻譯，翻譯成計算機指令後，在本地計算機上運行。這種腳本的好處是，可以通過少量的程序寫作，而完成大量的功能。

這種SCRIPT的一個重要應用就是嵌入在WEB頁面裡面，執行一些靜態WEB頁面標記語言（HTML）無法完成的功能，比如本地計算，資料庫查詢和修改，以及系統信息的提取等。這些腳本在帶來方便和強大功能的同時，也為攻擊者提供了方便的攻擊途徑。如果攻擊者寫一些對系統有破壞的SCRIPT，然後嵌入在WEB頁面中，一旦這些頁面被下載到本地，計算機便以當前用戶的許可權執行這些腳本，這樣，當前用戶所具有的任何許可權，SCRIPT都可以使用，可以想像這些惡意的SCRIPT的破壞程度有多強。這就是所謂的SCRIPT攻擊。

ActiveX是一種控制項對象，它是建立在MICROSOFT的組件對象模型（COM）之上的，而COM則幾乎是Windows操作系統的基礎結構。可以簡單的理解，這些控制項對象是由方法和屬性構成的，方法即一些操作，而屬性則是一些特定的數據。這種控制項對象可以被應用程序載入，然後訪問其中的方法或屬性，以完成一些特定的功能。可以說，COM提供了一種二進制的兼容模型（所謂二進制兼容，指的是程序模塊與調用的編譯環境，甚至操作系統沒有關系）。但需要注意的是，這種對象控制項不能自己執行，因為它沒有自己的進程空間，而只能由其它進程載入，並調用其中的方法和屬性，這時候，這些控制項便在載入進程的進程空間運行，類似與操作系統的可載入模塊，比如DLL庫。

ActiveX控制項可以嵌入在WEB頁面裡面，當瀏覽器下載這些頁面到本地後，相應地也下載了嵌入在其中的ActiveX控制項，這樣這些控制項便可以在本地瀏覽器進程空間中運行（ActiveX空間沒有自己的進程空間，只能由其它進程載入並調用），因此，當前用戶的許可權有多大，ActiveX的破壞性便有多大。如果一個惡意的攻擊者編寫一個含有惡意代碼的ActiveX控制項，然後嵌入在WEB頁面中，被一個瀏覽用戶下載後執行，其破壞作用是非常大的。這便是所謂的ActiveX攻擊。

1.19 Smurf攻擊

ICMP ECHO請求包用來對網路進行診斷，當一台計算機接收到這樣一個報文後，會向報文的源地址回應一個ICMP ECHO REPLY。一般情況下，計算機是不檢查該ECHO請求的源地址的，因此，如果一個惡意的攻擊者把ECHO的源地址設置為一個廣播地址，這樣計算機在恢復REPLY的時候，就會以廣播地址為目的地址，這樣本地網路上所有的計算機都必須處理這些廣播報文。如果攻擊者發送的ECHO 請求報文足夠多，產生的REPLY廣播報文就可能把整個網路淹沒。這就是所謂的smurf攻擊。

除了把ECHO報文的源地址設置為廣播地址外，攻擊者還可能把源地址設置為一個子網廣播地址，這樣，該子網所在的計算機就可能受影響。

1.20 虛擬終端（VTY）耗盡攻擊

這是一種針對網路設備的攻擊，比如路由器，交換機等。這些網路設備為了便於遠程管理，一般設置了一些TELNET用戶界面，即用戶可以通過TELNET到該設備上，對這些設備進行管理。

一般情況下，這些設備的TELNET用戶界面個數是有限制的，比如，5個或10個等。這樣，如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接，這些設備的遠程管理界面便被占盡，這樣合法用戶如果再對這些設備進行遠程管理，則會因為TELNET連接資源被佔用而失敗。

1.21 路由協議攻擊

網路設備之間為了交換路由信息，常常運行一些動態的路由協議，這些路由協議可以完成諸如路由表的建立，路由信息的分發等功能。常見的路由協議有RIP，OSPF，IS-IS，BGP等。這些路由協議在方便路由信息管理和傳遞的同時，也存在一些缺陷，如果攻擊者利用了路由協議的這些許可權，對網路進行攻擊，可能造成網路設備路由表紊亂（這足可以導致網路中斷），網路設備資源大量消耗，甚至導致網路設備癱瘓。

下面列舉一些常見路由協議的攻擊方式及原理：

1.21.1 針對RIP協議的攻擊

RIP，即路由信息協議，是通過周期性（一般情況下為30S）的路由更新報文來維護路由表的，一台運行RIP路由協議的路由器，如果從一個介面上接收到了一個路由更新報文，它就會分析其中包含的路由信息，並與自己的路由表作出比較，如果該路由器認為這些路由信息比自己所掌握的要有效，它便把這些路由信息引入自己的路由表中。

這樣如果一個攻擊者向一台運行RIP協議的路由器發送了人為構造的帶破壞性的路由更新報文，就很容易的把路由器的路由表搞紊亂，從而導致網路中斷。

如果運行RIP路由協議的路由器啟用了路由更新信息的HMAC驗證，則可從很大程度上避免這種攻擊。

1.21.2 針對OSPF路由協議的攻擊

OSPF，即開放最短路徑優先，是一種應用廣泛的鏈路狀態路由協議。該路由協議基於鏈路狀態演算法，具有收斂速度快，平穩，杜絕環路等優點，十分適合大型的計算機網路使用。OSPF路由協議通過建立鄰接關系，來交換路由器的本地鏈路信息，然後形成一個整網的鏈路狀態資料庫，針對該資料庫，路由器就可以很容易的計算出路由表。

可以看出，如果一個攻擊者冒充一台合法路由器與網路中的一台路由器建立鄰接關系，並向攻擊路由器輸入大量的鏈路狀態廣播（LSA，組成鏈路狀態資料庫的數據單元），就會引導路由器形成錯誤的網路拓撲結構，從而導致整個網路的路由表紊亂，導致整個網路癱瘓。

當前版本的WINDOWS 操作系統（WIN 2K/XP等）都實現了OSPF路由協議功能，因此一個攻擊者可以很容易的利用這些操作系統自帶的路由功能模塊進行攻擊。

跟RIP類似，如果OSPF啟用了報文驗證功能（HMAC驗證），則可以從很大程度上避免這種攻擊。

1.21.3 針對IS-IS路由協議的攻擊

IS-IS路由協議，即中間系統到中間系統，是ISO提出來對ISO的CLNS網路服務進行路由的一種協議，這種協議也是基於鏈路狀態的，原理與OSPF類似。IS-IS路由協議經過 擴展，可以運行在IP網路中，對IP報文進行選路。這種路由協議也是通過建立鄰居關系，收集路由器本地鏈路狀態的手段來完成鏈路狀態資料庫同步的。該協議的鄰居關系建立比OSPF簡單，而且也省略了OSPF特有的一些特性，使該協議簡單明了，伸縮性更強。

對該協議的攻擊與OSPF類似，通過一種模擬軟體與運行該協議的路由器建立鄰居關系，然後傳頌給攻擊路由器大量的鏈路狀態數據單元（LSP），可以導致整個網路路由器的鏈路狀態資料庫不一致（因為整個網路中所有路由器的鏈路狀態資料庫都需要同步到相同的狀態），從而導致路由表與實際情況不符，致使網路中斷。

與OSPF類似，如果運行該路由協議的路由器啟用了IS-IS協議單元（PDU）HMAC驗證功能，則可以從很大程度上避免這種攻擊。

1.22 針對設備轉發表的攻擊

為了合理有限的轉發數據，網路設備上一般都建立一些寄存器表項，比如MAC地址表，ARP表，路由表，快速轉發表，以及一些基於更多報文頭欄位的表格，比如多層交換表，流項目表等。這些表結構都存儲在設備本地的內存中，或者晶元的片上內存中，數量有限。如果一個攻擊者通過發送合適的數據報，促使設備建立大量的此類表格，就會使設備的存儲結構消耗盡，從而不能正常的轉發數據或崩潰。

下面針對幾種常見的表項，介紹其攻擊原理：

1.22.1 針對MAC地址表的攻擊

MAC地址表一般存在於乙太網交換機上，乙太網通過分析接收到的數據幀的目的MAC地址，來查本地的MAC地址表，然後作出合適的轉發決定。

這些MAC地址表一般是通過學習獲取的，交換機在接收到一個數據幀後，有一個學習的過程，該過程是這樣的：

a) 提取數據幀的源MAC地址和接收到該數據幀的埠號；
查MAC地址表，看該MAC地址是否存在，以及對應的埠是否符合；
c) 如果該MAC地址在本地MAC地址表中不存在，則創建一個MAC地址表項；
d) 如果存在，但對應的出埠跟接收到該數據幀的埠不符，則更新該表；
e) 如果存在，且埠符合，則進行下一步處理。

分析這個過程可以看出，如果一個攻擊者向一台交換機發送大量源MAC地址不同的數據幀，則該交換機就可能把自己本地的MAC地址表學滿。一旦MAC地址表溢出，則交換機就不能繼續學習正確的MAC表項，結果是可能產生大量的網路冗餘數據，甚至可能使交換機崩潰。

而構造一些源MAC地址不同的數據幀，是非常容易的事情。

1.22.2 針對ARP表的攻擊

ARP表是IP地址和MAC地址的映射關系表，任何實現了IP協議棧的設備，一般情況下都通過該表維護IP地址和MAC地址的對應關系，這是為了避免ARP解析而造成的廣播數據報文對網路造成沖擊。ARP表的建立一般情況下是通過二個途徑：

1、 主動解析，如果一台計算機想與另外一台不知道MAC地址的計算機通信，則該計算機主動發ARP請求，通過ARP協議建立（前提是這兩台計算機位於同一個IP子網上）；

2、 被動請求，如果一台計算機接收到了一台計算機的ARP請求，則首先在本地建立請求計算機的IP地址和MAC地址的對應表。

因此，如果一個攻擊者通過變換不同的IP地址和MAC地址，向同一台設備，比如三層交換機發送大量的ARP請求，則被攻擊設備可能會因為ARP緩存溢出而崩潰。

針對ARP表項，還有一個可能的攻擊就是誤導計算機建立正確的ARP表。根據ARP協議，如果一台計算機接收到了一個ARP請求報文，在滿足下列兩個條件的情況下，該計算機會用ARP請求報文中的源IP地址和源MAC地址更新自己的ARP緩存：

1、 如果發起該ARP請求的IP地址在自己本地的ARP緩存中；
2、 請求的目標IP地址不是自己的。

可以舉一個例子說明這個過程，假設有三台計算機A，B，C，其中B已經正確建立了A和C計算機的ARP表項。假設A是攻擊者，此時，A發出一個ARP請求報文，該請求報文這樣構造：

1、 源IP地址是C的IP地址，源MAC地址是A的MAC地址；
2、 請求的目標IP地址是A的IP地址。

這樣計算機B在收到這個ARP請求報文後（ARP請求是廣播報文，網路上所有設備都能收到），發現B的ARP表項已經在自己的緩存中，但MAC地址與收到的請求的源MAC地址不符，於是根據ARP協議，使用ARP請求的源MAC地址（即A的MAC地址）更新自己的ARP表。

這樣B的ARP混存中就存在這樣的錯誤ARP表項：C的IP地址跟A的MAC地址對應。這樣的結果是，B發給C的數據都被計算機A接收到。

1.22.3 針對流項目表的攻擊

有的網路設備為了加快轉發效率，建立了所謂的流緩存。所謂流，可以理解為一台計算機的一個進程到另外一台計算機的一個進程之間的數據流。如果表現在TCP/IP協議上，則是由（源IP地址，目的IP地址，協議號，源埠號，目的埠號）五元組共同確定的所有數據報文。

一個流緩存表一般由該五元組為索引，每當設備接收到一個IP報文後，會首先分析IP報頭，把對應的五元組數據提取出來，進行一個HASH運算，然後根據運算結果查詢流緩存，如果查找成功，則根據查找的結果進行處理，如果查找失敗，則新建一個流緩存項，查路由表，根據路由表查詢結果填完整這個流緩存，然後對數據報文進行轉發（具體轉發是在流項目創建前還是創建後並不重要）。

可以看出，如果一個攻擊者發出大量的源IP地址或者目的IP地址變化的數據報文，就可能導致設備創建大量的流項目，因為不同的源IP地址和不同的目標IP地址對應不同的流。這樣可能導致流緩存溢出