泛洪攻击的几种方式

ICMP泛洪（ICMP flood）是利用ICMP报文 进行攻击的一种方法。如果攻击者向目标主机发 送大量的ICMP ECHO报文，将产生ICMP泛洪， 目标主机会将大量的时间和资源用于处理ICMP ECHO报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击。

Smurf IP利用广播地址发送ICMP包，一旦广播出去，就会被广播域内的所有主机回应，当然这些包都回应给了伪装的IP地址（指向被攻击主机），伪装IP地址可以是互联网上的任何地址，不一定在本地；假如骇客不停地发送此种类型的包，就会造成DoS攻击。

对于TCP协议，当客户端向服务器发起连接请求并初始化时，服务器一端的协议栈会留一块缓冲区来处理“握手”过程中的信息交换。请求建立连接时发送的数据包的包头SYN位就表明了数据包的顺序，攻击者可以利用在短时间内快速发起大量连接请求，以致服务器来不及响应。同时攻击者还可以伪造源IP地址。也就是说攻击者发起大量连接请求，然后挂起在半连接状态，以此来占用大量服务器资源直到拒绝服务。虽然缓冲区中的数据在一段时间内（通常是三分钟）都没有回应的话，就会被丢弃，但在这段时间内，大量半连接足以耗尽服务器资源。

LAND攻击利用了TCP连接建立的三次握手过程，通过向一个目标主机发送一个用于建立请求连接的TCP SYN报文而实现对目标主机的攻击。与正常的TCP SYN报文不同的是：LAND攻击报文的源IP地址和目的IP地址是相同的，都是目标主机的IP地址。这样目标主机接在收到这个SYN 报文后，就会向该报文的源地址发送一个ACK报文，并建立一个TCP连接控制结构，而该报文的源地址就是自己。由于目的IP地址和源IP地址是相同的，都是目标主机的IP地址，因此这个ACK 报文就发给了目标主机本身。

UDP泛洪（UDP flood）的实现原理与ICMP泛洪类似，攻击者通过向目标主机发送大量的UDP报文，导致目标主机忙于处理这些UDP报文，而无法处理正常的报文请求或响应。

由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

TCP的FIN、ACK、SYN、URG、PSH及攻击方式

一个虚拟连接的建立是通过三次握手来实现的

假如服务器A和客户机B通讯. 当A要和B通信时，B首先向A发一个SYN (Synchronize) 标记的包，告诉A请求建立连接.

注意: 一个 SYN包就是仅SYN标记设为1的TCP包(参见TCP包头Resources). 认识到这点很重要，只有当A受到B发来的SYN包，才可建立连接，除此之外别无他法。因此，如果你的防火墙丢弃所有的发往外网接口的SYN包，那么你将不 能让外部任何主机主动建立连接。

B收到SYN/ACK 包,B发一个确认包(ACK)，通知A连接已建立。至此，三次握手完成，一个TCP连接完成

Note: ACK包就是仅ACK 标记设为1的TCP包. 需要注意的是当三此握手完成、连接建立以后，TCP连接的每个包都会设置ACK位

这就是为何连接跟踪很重要的原因了. 没有连接跟踪,防火墙将无法判断收到的ACK包是否属于一个已经建立的连接.一般的包过滤(Ipchains)收到ACK包时,会让它通过(这绝对不是个 好主意). 而当状态型防火墙收到此种包时，它会先在连接表中查找是否属于哪个已建连接，否则丢弃该包

四次握手用来关闭已建立的TCP连接

1. (B) –> ACK/FIN –> (A)

2. (B)