1 建立TCP连接

三次握手

2 SYN Flood泛洪攻击

服务拒绝（DOS，Denial of Service）攻击时，攻击者想法占用被攻击者的资源，例如：带宽、CPU、内存等，使得被攻击者无法响应正常用户的请求。

SYN泛洪（Flood）是一种广为人知的攻击，对现代网络不太有效。攻击者向被攻击者发起大量的SYN包（第一次握手包），并且伪装源IP地址。被攻击者会发送SYN-ACK（第二次握手包）到假造的IP地址，因此永不可能收到ACK（第三次握手包）。这样被攻击者将会等待ACK（第三次握手包）的达到，从而占用内存和CPU的负载。通常把没有完全建立起来的连接称为半开连接，大量半开连接的存在将使得正常用户无法和被攻击者建立正常的TCP连接，从而无法提供正常的服务。

3 SYN泛洪DDOS攻击

如果是单台计算机采用SYN泛洪攻击对服务器进行攻击，效果应该不很明显，但是如果采用人海战术、轮番轰炸，在多台计算机同时对服务器进行攻击，则至少会造成网络拥塞，这种攻击就是分布式拒绝服务攻击(DDOS，Distributed Denial of Service)。

3.1 SYN泛洪攻击防范

（1）实际上现在的大多操作系统已经实现了抵御SYN泛洪攻击的功能，据验证只要Windows XP系统装上SP3、Windows 7装上SP1、Windows Server 2003和2008装上SP1，应该都能抵抗SYN防洪攻击。即升级即可。
（2）或者添加/修改注册表“HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters”下的值
（3）最有效的，应该是增加防火墙来保护服务器，让防火墙过滤攻击

4 TCP Reset攻击及防范

TCP协议头部有一个标志位称为“RST”位，正常的数据包中该位为0，一旦该位设置为1，则接收该数据包的主机将立即断开TCP会话。

TCP Reset攻击中，攻击者可以伪造TCP连接其中的一方给另一方发送带有RST位的包来断开TCP连接，但是要确保这个数据包的源IP地址、源端口号、目的IP地址、目的端口号、序列号等特征符合已有TCP连接的特征，这就要求攻击者要能够监视通信双方之间的TCP连接。

如果在集线器（Hub）构建起来的网络中，攻击者很容易就能监视通信双方之间的TCP连接，但如果是在交换机（Switch）构建起来的网络中，攻击者需要采用中间人攻击或者交换机的端口镜像等措施。

攻击者（Hacker)采用Back Track5 平台，要把远程桌面Client 和远程桌面Server 端的TCP 连接断开。

4.1 防范TCP Reset攻击

防范TCPReset攻击的措施相对简单：（1）不要使用集线器构建网络（2）要避免被中间人攻击

5 UDP泛洪攻击及防范

5.1 UDP泛洪攻击介绍

UDP是一种面向无连接的协议，而且使用UDP的应用程序通常会产生较大的数据流量。在UDP防洪攻击中，攻击者向被攻击者的端口随机发送一个UDP报文。当被攻击者接收到这个UDP报文时，它要确定哪个应用程序在这个目的端口上监听。如果没有应用程序在这个端口进行监听，它将产生一个ICMP目的不可达的信息返回给这个伪造的源地址。

如果向被攻击者的多个端口发送足够多的UDP报文，系统将会崩溃。UDP防洪攻击也是一种低技术含量、野蛮的、人海战术的攻击手段，但是这种手段也常常造成网络拥塞和服务器负载加大。

5.2 UDP泛洪攻击的防范

UDP泛洪攻击防范的最好方法是：增加防火墙，防火墙只允许指定的目的端口数据包通过。

6 ICMP Smurf攻击与防范

6.1 ICMP Smurf攻击介绍

这种攻击方法结合使用了IP欺骗和ICMPEcho，使大量数据包充斥被攻击者的网络，引起被攻击者拒绝为正常用户进行服务。攻击者伪造大量的ICMP Echo Request包，包的源IP地址为被攻击者的IP地址，而目的地址为被攻击者所在网段的广播地址。
这种攻击的前提是，最后一跳的路由器接收到这个发送给IP广播地址（192.168.65.255）的包后，会进行转发并进行广播。

6.2 ICMP Smurf攻击的防范

防范Smurf攻击的措施就是在路由器上关闭直播功能，实际上这是默认值。命令如下：

R1(config)#interface FastEthernet 0/0
R1(config-if)#no ip directed-broadcast  //以上命令关闭直播功能R1(config)#interface FastEthernet 1/0
R1(config-if)#no ip directed-broadcast

7 ICMP重定向攻击与防范

7.1 ICMP重定向攻击

ICMP重定向报文是ICMP控制报文中的一种。在特定的情况下，当路由器检测到一台计算机使用非优化路由的时候，它会向该计算机发送一个ICMP重定向报文，使得计算机改变路由。计算机的网关指向R1（192.168.1.253），当路由器R1收到计算机ARP请求包后，它首先用ARP应答包响应计算机的ARP请求（通知计算机：路由器R1自己接口的MAC地址）。然后路由器R1发送一个ICMP重定向消息给计算机，通知计算机新的网关是：192.168.1.254。
ICMP重定向攻击中，攻击者冒充网关发送伪造的ICMP重定向消息，把网关重定向到攻击者，这样用户计算机就把数据发到了攻击者计算机上，攻击者再把数据发到Internet上，这样就实现了中间人攻击，这种攻击只能实现单向的中间人，即：从用户计算机到Internet方向上的中间人攻击。

7.2 ICMP重定向攻击防范

防范ICMP重定向攻击的方法较为简单：改注册表，在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下将EnableICMPRedirects值设为0即可，即：不接收ICMP重定向数据包。

实际上，在WindowsXPSP3系统上这是默认值，而在Windows7却并非如此。