网络攻击的多种手段

想要对越来越猖獗的网络攻击进行防范，首先要了解网络上现有的攻击手段，知己知彼才能进行更加全面的防范。网络攻击，也称之拒绝服务攻击。
拒绝服务攻击 ： 广义而言，凡是利用网络安全防护措施不足导致用户不能或不敢继续使用正常服务的攻击手段，都称之为拒绝服务攻击。其目的是通过消耗网络带宽或系统资源，使网络或计算机不能提供正常的服务。
拒绝服务攻击原理：借助客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击。
DDoS（Distributed Denial of Service, DDoS） 是指攻击者通过控制在网络各处的数百甚至数千傀儡主机（又称为肉鸡），发动它们同时向目标进行拒绝服务攻击。
（1）SYN泛洪(SYNflood)
专门针对TCP的3次握手过程中两台主机间初始化连接握手进行攻击。
攻击方利用虚假源地址向服务器发送TCP连接请求，服务器回复SYN+ACK数据包。由于发送请求的源地址是假地址，服务器不会得到确认，服务器一般会重试发送SYN+ACK，并等待一段时间（大约30秒-2分钟）后丢弃这个连接，在等待的时间内服务器处于半连接状态，会消耗调资源。当大量的虚假SYN请求到来，会占用服务器的大量资源从而使得目标主机不能向正常请求提供服务。
（2）UDP泛洪
攻击者发送大量伪造源IP地址的小UDP数据包。只要用户开一个UDP端口提供相关服务，就可以针对该服务进行攻击。
（3）Land攻击
由黑客组织Rootshell发现的，攻击目标是TCP三次握手。
利用一个特别打造的SYN包–它的原地址和目标地址（相同）都被设置成某一个服务器地址进行攻击。这将导致接受服务器向它自己的地址发送SYN+ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时，在Land攻击下，许多UNIX将崩溃，NT变得极其缓慢（大约持续五分钟）。
（4）Smurf攻击
攻击者向一个子网的广播地址发送一个带有特定请求（如ping ）的包，并且将源地址伪装成要攻击的主机地址。子网上所有主机都回应广播包的请求，向被攻击主机发送应答，使得网络的带宽下降，严重情况会导致受害主机崩溃。
实施：ping请求 源地址：受害方，目的地址：广播地址
（5）SYN变种攻击
发送伪造源IP的SYN数据包，但数据报不是64字节而是上千字节，这种攻击造成防火墙错误锁死，消耗服务器资源，阻塞网络。
（6）TCP混乱数据包攻击
发送伪造源IP的TCP数据包，TCP头部的TCPFlags部分混乱（如syn,ack,syn+ack,syn+rst），会造成防火墙错误锁死，消耗服务器资源，阻塞网络
泪滴攻击（分片攻击）
泪滴（Teardrop）攻击是利用TCP/IP协议的漏洞进行DoS攻击的方式。
攻击者向目的主机发送有重叠偏移量的伪造IP分片数据包，目的主机在重组含有偏移量重叠的数据包时会引起协议栈崩溃。
（7）IP伪装DDoS 攻击
攻击者向目的主机发送大量伪造源IP地址（合法用户，已经建立连接）、RST置位的数据包，致使目的主机清空已经建好的连接，从而实现DoS。
（8）针对Web Server的多连接攻击
通过控制大量“肉鸡”同时访问某网站，造成网站无法正常处理请求而瘫痪。
（9）针对Web Server的变种攻击
通过控制大量“肉鸡”同时连接网站，不发送GET请求而是发送乱七八糟的字符，绕过防火墙的检测，造成服务器瘫痪。