网络数通领域所必须知道的常见的网络攻击报文类型、攻击原理，及相应解决方法和防御措施

这个是公司内部某行业大佬的针对常见类型的总结笔记，内部包含了常见的攻击报文类型，攻击原理，及相应的解决方法。 此文档主要适用于网络数通领域，对于初入信息安全行业的小白来说也同样适用。 请信息安全行业的大佬们，手下留情。 内容主要包括：常见报文攻击类型：畸形报文，分片报文，泛洪攻击等，常见攻击报文，及攻击方式 在网络安全领域，了解常见的网络攻击报文类型及其防范方法至关重要。网络数通领域的专业人士和初入信息安全行业的新手都需要掌握这些基础知识，以保障企业的安全。本文将深入探讨畸形报文攻击、分片报文攻击以及相应的防御措施。 畸形报文攻击是一种通过发送构造异常的IP报文来破坏目标设备的策略。这类攻击包括： 1. **没有IP载荷的泛洪**：攻击者构造只有IP头部、没有数据部分的报文，导致目标设备在处理时出错。启用畸形报文攻击防范后，设备会直接丢弃此类报文。 2. **IGMP空报文**：IGMP报文通常由20字节的IP头和8字节的IGMP体组成。小于28字节的IGMP报文可能使设备崩溃。启用防范措施后，设备将丢弃此类空报文。 3. **LAND攻击**：利用TCP三次握手的漏洞，攻击者发送源地址和目的地址均为目标主机的SYN报文，造成目标主机创建大量无用的TCP空连接，耗尽资源。设备启用防护后，若发现源地址与目的地址相同，会丢弃报文。 4. **Smurf攻击**：攻击者向目标网络发送源地址为目标主机、目的地址为广播地址的ICMP请求报文，触发所有主机回应，导致目标主机资源消耗过大。设备通过检查报文目标地址，丢弃广播地址报文以防止Smurf攻击。 5. **TCP标志位非法攻击**：攻击者利用不同TCP标志位组合进行攻击，例如全部为1的“圣诞树”攻击、SYN和FIN同时为1的探测攻击、6个标志位全为0的探测攻击。设备通过检查标志位组合，丢弃异常报文。 分片报文攻击则是通过构造错误的分片报文来消耗目标设备的资源或导致其崩溃。防御手段包括： 1. **分片数量巨大攻击**：正常情况下，IP报文最多可分8189片，攻击者可能发送超过此限制的分片报文，消耗设备资源。设备一旦发现分片数量超过8189，将丢弃所有相关分片。 2. **巨大Offset攻击**：攻击者发送Offset值过大的分片报文，迫使设备分配大量内存。设备在发现Offset值超出正常范围时，会丢弃或限速处理异常报文。 防范网络攻击的关键在于设备能够识别并及时处理异常报文。通过启用相关的攻击防范功能，如畸形报文和分片报文的检测与丢弃，企业可以显著增强网络安全性，减少因攻击导致的服务中断和资源浪费。此外，持续监控网络流量、定期更新安全策略和软件补丁也是抵御新威胁的重要步骤。