很多朋友对于TCP/IP 攻击详细解释和不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

ARP欺骗，又称ARP中毒（网上多译为ARP病毒）或ARP攻击，是一种通过欺骗局域网内访问者PC机来针对以太网地址解析协议（ARP）的攻击技术。网关MAC地址使访问者的PC误认为攻击者更改的MAC地址是网关的MAC，导致网络阻塞。此类攻击允许攻击者获取局域网上的数据包甚至篡改数据包，并且可以使网络上的特定计算机或所有计算机无法正常连接。

运行机制

ARP欺骗的工作原理是攻击者向互联网，特别是网关发送伪造的ARP数据包。目的是将发往特定IP 地址的流量误导至攻击者已替换的位置。因此，攻击者可以将此流量重定向到真正的网关（被动嗅探）或在转发之前对其进行篡改（中间人攻击）。攻击者还可以将ARP数据包定向到不存在的MAC地址，从而实现拒绝服务攻击，例如netcut软件

预防方法

网络中每台计算机的ARP都必须改为静态方式。然而，这在大型网络上并不可行，因为每台计算机的ARP 表需要频繁更新。

另一种方法，例如DHCP侦听，允许网络设备通过DHCP保留网络上计算机的MAC地址，当发送伪造的ARP数据包时可以检测到这种情况。该方法已经得到部分品牌在线设备产品的支持

有一些软件可以监控网络上的ARP 响应。如果检测到异常变化，可以发送电子邮件通知管理员。例如UNIX平台上的Arpwatch和Windows上的XArp v2或者某些在线设备的动态ARP检查功能

IP地址欺骗

介绍

IP地址欺骗是指使用伪造的源IP地址生成IP数据包以冒充其他系统或发送者身份的操作。这是黑客攻击的一种形式。黑客利用一台计算机上网，借用另一台机器的IP地址，冒充另一台机器，与服务器打交道。防火墙可以识别这种IP欺骗。

弱势服务

以IP地址认证作为用户身份的X window系统远程服务系列（如远程访问服务）的防御方法

为了防止IP欺骗，一方面，目标设备需要采取更强的认证措施。它不仅根据源IP来信任访问者，还需要强密码等身份验证方法。另一方面，使用鲁棒的交互协议来提高源的伪装性。 IP阈值

一些高层协议有独特的防御方法。例如，TCP（传输控制协议）通过回复序列号来确保数据包来自已建立的连接。由于攻击者通常不会收到回复消息，因此无法知道序列号。但可以检测到一些老机器、老系统的TCP序列号。

Smurf攻击

蓝精灵攻击

介绍

Smurf 攻击是一种病毒攻击，以最初发起此攻击的程序“Smurf”命名。这种攻击方式采用IP欺骗和ICMP回复方式相结合的方式，用大量的网络流量淹没目标系统，导致目标系统拒绝为正常系统提供服务。

攻击过程

Smurf 攻击的原理是向受害主机发送ICMP 回复请求(ping) 数据包，并将回复地址设置为受害网络的广播地址，最终导致网络上的所有主机回复ICMP 回复请求，从而导致网络拥塞。更复杂的Smurf将源地址更改为第三方受害者，最终导致第三方崩溃

攻击过程如下：Woodlly Attacker向具有大量主机和Internet连接的网络的广播地址发送欺骗性的Ping数据包（回显请求）。这个目标网络称为反弹站点，欺骗性Ping 数据包的源地址就是Woodlly 希望攻击的系统。

这种攻击的前提是，路由器收到发送到IP广播地址（如206.121.73.255）的数据包后，会认为这是一个广播数据包，并映射以太网广播地址FF:FF:FF:FF:FF:FF:这样，路由器接收到互联网上的数据包，并将其广播给本地网段内的所有主机。

攻击检测

ICMP 响应风暴检测监视网络并做出统计结果。如果发生Smurf攻击，会出现大量的echo消息。由于echo响应风暴的存在，此时echo报文占所有报文的比例大大增加。因此，如果出现这种情况，则可能是Smurf 攻击。

丢包率和重传率增加。由于回声风暴导致网络过载，会出现大量丢包和数据包重传的情况。因此，如果丢包率和重传率明显增加，则可能是Smurf攻击。

意外的连接重置经常发生。当受到Smurf攻击时，其他网络连接可能会因网络过载而意外中断或重置。如果您反复遇到意外中断或重置，您也可能会受到Smurf 攻击。

防御方法

阻止Smurf 攻击的最简单方法是过滤来自边界路由器的回显应答数据包，然后丢弃它们以防止网络被吞没。

SYN Flood攻击

SYN 洪水攻击

介绍

TCP SYN 泛洪发生在OSI 第四层。这种方法利用了TCP协议的特点，即三向握手。攻击者发送TCP SYN。 SYN是TCP三向握手中的第一个数据包。当服务器返回ACK时，攻击者不会再次确认。那么TCP连接就处于挂起状态，也就是所谓的半连接状态，如果服务器无法收到进一步的确认，就会反复向攻击者发送ACK。这会浪费更多的服务器资源。攻击者向服务器发送大量此类TCP 连接。由于每一个都无法完成三向握手，因此在服务器上，这些TCP 连接会因挂起状态而消耗CPU 和内存。最终服务器可能崩溃，无法为正常用户提供服务

攻击原理

如果大量的握手请求涌入TCP 服务器，并且它们只发送SYN 消息而没有以ACK 响应结束握手，则服务器将保持连接一分钟以上以等待每个请求的ACK，即形成所谓的“半连接”。维持这些半连接会消耗大量的服务器网络连接资源。如果这些资源在短时间内几乎被半连接占用，则在此期间将无法服务正常的业务请求，而处于等待状态。

而且，如果这些半连接握手请求是由恶意程序发出并持续不断，就会导致服务器长期失去服务功能，从而形成DoS（拒绝服务）攻击。这种攻击方式称为SYN Flood攻击。

防范措施

为了防止SYN Flood攻击，优化主机系统设置是一种常用的方法。例如，减少SYN超时时间可以让主机尽快释放半连接占用；另一个例子是使用SYN cookie 设置。如果短时间内连续收到某个IP的重复SYN请求，则认为该IP受到攻击，丢弃该IP的请求。后续请求消息。此外，合理使用防火墙等外部网络安全设施也可以缓解SYN洪水攻击。

UDP Flood攻击

UDP 洪水攻击

介绍

UDPFlood是一种日益猖獗的基于流量的DoS攻击，其原理也非常简单。常见的情况是使用大量UDP报文对DNS服务器、Radius认证服务器、流视频服务器造成影响。 100k bps UDPFlood往往会导致防火墙等线路上的骨干设备瘫痪，导致整个网段瘫痪。由于UDP协议是无连接服务，在UDPFLOOD攻击中，攻击者可以发送大量带有伪造源IP地址的小UDP数据包。但由于UDP协议是无连接的，只要开放UDP端口提供相关服务，就可以针对相关服务进行攻击。

正常应用情况下，UDP数据包的双向流量会基本相等，大小和内容是随机的，变化很大。 UDPFlood发生时，同一目标IP的UDP报文在一侧大量出现，且内容和大小相对固定。

防范措施

UDP协议与TCP协议的不同之处在于，它是无连接协议，而UDP应用协议多种多样且差异极大，因此防护UDP Flood的难度非常大。其防护应根据具体情况对待

确定数据包大小。如果是大报文攻击，则采用UDP分片防范方法：根据攻击报文大小设置报文分片重组大小，通常不小于1500。极端情况下，可以考虑丢弃所有UDP分片。攻击端口为业务端口：根据业务的最大UDP包长度设置最大UDP包大小，过滤异常流量。攻击端口为非业务端口：一是丢弃所有UDP数据包，可能会造成误伤。正常营业；一是建立UDP连接规则，要求所有发往该端口的UDP数据包必须先与该TCP端口建立TCP连接。但这种方法需要非常专业的防火墙或者其他防护设备来支持UDP攻击。是一种既消耗对方资源又消耗攻击者自身资源的攻击方式。没有人再使用这个过时的东西了。

缓冲区溢出攻击

介绍

缓冲区溢出攻击有很多英文名称：buffer Overflow、buffer overrun、smash the stack、trash the stack、scribble the stack、mangle the stack、内存泄漏、溢出螺丝；它们都指的是相同的攻击方法。第一次缓冲区溢出攻击莫里斯蠕虫病毒发生于20 年前，导致全球6,000 多台网络服务器瘫痪。

缓冲区溢出是指当计算机向缓冲区填充的数据位超过了缓冲区本身的容量时，溢出的数据覆盖了合法的数据。理想情况下，程序将检查数据长度，并且不允许输入多于缓冲区长度的字符。然而，大多数程序都假设数据长度始终与分配的存储空间相匹配，这给缓冲区溢出带来了隐患。操作系统使用的缓冲区也称为“堆栈”。在每个操作过程之间，指令会暂时存储在“堆栈”中，“堆栈”中可能会发生缓冲区溢出。

原则

通过写入超出程序缓冲区长度的内容，使缓冲区溢出，从而破坏程序的堆栈，导致程序执行其他指令，从而达到攻击的目的。缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。

Ping of Death

死亡之平

介绍

死亡之平：死亡之平

在互联网上，Ping of Death是一种畸形消息攻击，攻击者故意向对方发送大于65535字节的IP数据包。 TCP/IP 的特点之一就是分片；它允许将单个IP 数据包分为多个较小的数据包。 1996 年，攻击者发现使用分段数据包的传入数据包可能会增加整个IP 数据包的大小，使其超出IP 协议允许的65,536 位，因此他们开始利用该功能。当许多操作系统收到过大的IP数据包时，它们不知道该怎么办，因此服务器死机、崩溃或重新启动。