一些网络攻击方式

目前网络中存在的攻击方式主要有如下几种：

SYN Attack（SYN 攻击）：当网络中充满了会发出无法完成的连接请求的SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务(DoS) 时，就发生了SYN 泛滥攻击。

ICMP Flood（ICMP 泛滥）：当ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值，防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。

UDP Flood（UDP 泛滥）：与ICMP 泛滥相似，当以减慢系统速度为目的向该点发送UDP 封包，以至于系统再也无法处理有效的连接时，就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值，Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。

Port Scan Attack（端口扫描攻击）：当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置，如果远程主机在0.005 秒内扫描了10 个端口（5,000 微秒），防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标IP 地址为何）。

下面的选项可用于具有物理接口和子接口的区段：

Limit session（限制会话）：防火墙设备可限制由单个IP 地址建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。

SYN-ACK-ACK Proxy 保护：当认证用户初始化Telnet 或FTP 连接时，用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包，通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时，初始的三方握手就已完成。防火墙设备在其会话表中建立项目，并向用户发送登录提示。如果用户怀有恶意而不登录，但继续启动SYN-ACK-ACK 会话，防火墙会话表就可能填满到某个程度，让设备开始拒绝合法的连接要求。要阻挡这类攻击，您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后，防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下，来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值（为1 到2,500,000 之间的任何数目）以更好地适合网络环境的需求。

SYN Fragment（SYN 碎片）：SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进行，并且可能会破坏主机操作系统。当协议字段指示是ICMP封包，并且片断标志被设置为1 或指出了偏

移值时，防火墙设备会丢弃ICMP 封包。

SYN and FIN Bits Set（SYN 和FIN 位的封包）：通常不会在同一封包中同时设置SYN 和FIN 标志。但是，攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置SYN 和FIN 位的封包。

TCP Packet Without Flag（无标记的TCP 封包）：通常，在发送的TCP 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的TCP 封包。

FIN Bit With No ACK Bit（有FIN 位无ACK 位）：设置了FIN 标志的TCP 封包通常也会设置ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了FIN 标志，但没有设置ACK 位的封包。

ICMP Fragment（ICMP 碎片）：检测任何设置了“更多片断”标志，或在偏移字段中指出了偏移值的ICMP 帧。

Ping of Death：TCP/IP 规范要求用于数据包报传输的封包必须具有特定的大小。许多ping 实现允许用户根据需要指定更大的封包大小。过大的ICMP 封包会引发一系列负面的系统反应，如拒绝服务(DoS)、系统崩溃、死机以及重新启动。如果允许防火墙设备执行此操作，它可以检测并拒绝此类过大且不规则的封包。

Address Sweep Attack（地址扫描攻击）：与端口扫描攻击类似，当一个源IP 地址在定义的时间间隔（缺省值为5,000 微秒）内向不同的主机发送ICMP 响应要求（或ping）时，就会发生地址扫描攻击。这个配置的目的是Ping 数个主机，希望有一个会回复响应，以便找到可以作为目标的地址。防火墙设备在内部记录从一个远程源ping 的不同地址的数目。使用缺省设置，如果某远程主机在0.005 秒（5,000 微秒）内ping 了10 个地址，防火墙会将这一情况标记为地址扫描攻击，并在该秒余下的时间内拒绝来自于该主机的ICMP 回应要求。

Large ICMP Packet（大的ICMP 封包）：防火墙设备丢弃长度大于1024 的ICMP 封包。

Tear Drop Attack（撕毁攻击，又称泪滴攻击）：撕毁攻击利用了IP 封包碎片的重新组合。在IP 包头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象，将会丢弃该碎片。

Filter IP Source Route Option（过滤IP 源路由选项）：IP 包头信息有一个选项，其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用“源路由选项”的IP 信息流。“源路由选项”可允许攻击者以假的IP 地址进入网络，并将数据送回到其真正的地址。

Record Route Option（记录路由选项）：防火墙设备封锁IP 选项为7（记录路由）的封包。此选项用于记录封包的路由。记录的路由由一系列互联网地址组成，外来者经过分析可以了