常用的网络攻击方式有哪些？

一、网络攻击行为有哪些常见分类？

可以按以下逻辑来分：

二、什么是“单包攻击”？有哪些分类？

单包攻击（One-shot Packet Attack）是指攻击者仅通过一包特制报文即可触发漏洞、异常或设备资源耗尽，不需要会话或持续攻击。

常见单包攻击包括：

1. LAND 攻击

• 构造一个源 IP 和目标 IP 一样、端口也一样的 TCP 报文
• 被攻击设备收到后，会试图向自己发起连接，陷入死循环
• 一些老旧系统可能直接死机

2. Smurf 攻击

• 向广播地址发 ICMP Echo 请求，源地址伪造成目标地址
• 所有收到广播的主机会回复目标 → 被攻击者被 ICMP 回复包淹没
• 需要目标网段的设备“信广播”

3. Teardrop 攻击

• 构造非法或重叠的 IP 分片包 → 被攻击设备重组失败，系统崩溃
• 多见于旧版 Windows / Linux 系统

4. Ping of Death

• 构造 >65535字节的非法 Ping 报文 → 设备重组时溢出崩溃

三、扫描/探测属于攻击吗？

严格来说：

★扫描行为本身不等于攻击，但它是攻击的前奏。

常见的扫描方式有：

• 端口扫描：如使用 Nmap 探测开放端口
• 操作系统指纹：判断内核版本、服务版本
• 拓扑扫描：如使用 traceroute 推测路径与设备分布
• 漏洞扫描：发送特定探测包判断漏洞存在

为什么要防扫描？

• 攻击者掌握了哪些服务、端口、路径，才能“精准打击”
• 0day 漏洞往往靠精准识别服务版本进行利用

四、特殊控制报文攻击有哪些？

这些“特殊报文”平时不引人注意，但一旦被批量构造、滥发，后果很严重。

常见类型包括：

1. ICMP 类型滥发

• ICMP Echo → Smurf攻击
• ICMP Redirect → 改写路由表
• ICMP Unreachable → 干扰链路判断

2. TCP 控制位滥用

• SYN Flood：制造一堆半连接占满队列
• FIN/URG/PUSH 混合构造，尝试绕过防火墙

3. IGMP / BPDU / OSPF 等协议 Flood

• 控制面攻击目标明确：拖垮 CPU，不让数据转发
• 例如 BPDU 攻击可导致 STP 拓扑震荡

五、什么是“泛洪攻击”？怎么防？

泛洪攻击（Flooding）就是短时间内向目标发起大量请求或数据包，超出其承受范围，引发性能下降或服务中断。

分类：

防范方式：

• 限速/限连接数（如防火墙、IPS）
• SYN Cookie（防TCP半连接）
• 反向代理/调度（WAF、CDN）
• 源地址验证 + 黑名单过滤
• 开启“防泛洪”功能（如华为设备 storm-control、URPF）

六、源地址欺骗是怎么回事？怎么防？

攻击者在发送包时，伪造了源 IP 地址，以躲避追踪或引导流量错误返回目标设备。

常用于：

• SYN Flood（伪源让你回应不了）
• Smurf攻击（让广播回应打在别人身上）
• DDoS反射攻击（伪造源为受害者，借刀杀人）

防范方法：

• URPF（Unicast Reverse Path Forwarding）：出口地址是否可回流 → 防伪源
• ACL 匹配源IP范围 + 方向：只允许本网段真实地址
• 边界接口做 source-check
• 流量监控 + 报文溯源

七、中间人攻击是啥？ARP欺骗算吗？

中间人攻击（Man-in-the-Middle）是指攻击者处于通信链路之间，伪装成通信双方同时监听并篡改内容。

常见的中间人攻击手段包括：

• ARP欺骗：把自己伪装成网关，截获内部流量
• DNS欺骗：将真实域名解析到攻击站点
• HTTPS证书伪造：中间劫持后伪造SSL证书
• WiFi钓鱼热点：拦截流量+修改请求

所以，ARP欺骗 属于中间人攻击！经典入门版！

如何防止中间人/ARP欺骗？

• 启用动态 ARP 检测（DAI）/ARP 防护（如华为设备）
• 静态绑定 IP+MAC+端口
• IP Source Guard + DHCP Snooping 联动防伪造
• 启用802.1x接入认证
• 端到端加密通信（TLS1.3）+ 证书校验