一、常见攻击类型（不限于）

1.1. 流量型：

SYN Flood、ACK Flood、SYN-ACK Flood、FIN/RST Flood、TCP Fragment Flood、UDP Flood、UDP Fragment Flood、ICMP Flood

1.2. 应用型：

DNS Query（Reply）Flood、DNS Cache Posing、DNS反射攻击、TCP connection Flood、TCP慢速连接攻击、Sockstress攻击、HTTP Flood、CC攻击、HTTP重传攻击、HTTP slow headers攻击、HTTP slow post攻击、Web应用威胁过滤、SIP Flood、HTTPS Flood、SSL DOS/DDoS

1.3. 扫描窥探型：

Port Scanning、IP Scanning、TRACERT Packet、IP Source Routing Packet Control、IP Routing Record Packet Control

1.4. 协议漏洞型：

IP Spoofing、Land、Fraggle、WinNuke、Ping of Death、Tear Drop、Smurf、IP Option、Oversized ICMP、DNS漏洞过滤、Fast-Flux、Botnet/Worms/hourse

1.5. 协议选项型：

ICMP redirection packet、ICMP unreachable packet、IP Timestamp Packet Control

** 1.6. 其他：**

NTP Flood(UDP)

二、 TCP异常报文攻击与防御原理：

2.1 攻击原理

TCP报文标志位包括URG、ACK、PSH、RST、SYN、FIN六位，攻击者通过发送非法TCP flag组合的报文，对主机造成危害。

2.2 防御原理

检查TCP报文的各个标志位URG、ACK、PSH、RST、SYN、FIN，如果标志位异常，则认为是TCP异常报文。当TCP异常报文的速率大于告警阈值时，将所有TCP异常报文全部丢弃，并记录攻击日志。

1）6个标志位全为1。

2）6个标志位全为0。

3）SYN和FIN位同时为1。

4）SYN和RST位同时为1。

5）FIN和RST位同时为1。

6）PSH、FIN和URG位同时为1。

7）仅FIN位为1。

8）仅URG位为1。

9）仅PSH位为1。

10）SYN/RST/FIN标记位为1的分片报文。

11）带有载荷的SYN、SYN-ACK报文。

三、SockStress攻击

SockStress攻击正好与Syn-Flood攻击原理相悖，它正是利用建立TCP/IP三次握手连接来实现拒绝服务攻击，而且与Syn-Flood不同它并非通过耗尽服务器的TCP连接数来让正常用户的正常请求无法响应，而是直接耗尽服务端的内存、CPU等资源让受害者宕机，属于非对称的资源消耗攻击，这种攻击方式的危害性极大，而且一旦遭受分布式攻击是几乎不能被抵御的。

SOCKSTRESS的攻击原理。

1.首先，攻击者大量请求建立三次握手连接

2.成功建立ESTABLISHED之后，攻击者会将数据包中window的值置为0（window的意思代表client这边一次可以接受的数据大小，置为0之后表示client没有window来接受server发来的数据，然后server就会分配内存来维持TCP连接直到client有空闲的window与之通信），然而攻击者可不会维持什么连接，他只会不断的请求TCP连接耗尽server的资源

3.当server这端维持连接达到一定数量之后，内存、CPU甚至是SWAP分区都会被耗尽，系统命令不能正常执行，想要恢复server唯一的办法就是断网

学无止境：后续继续分析攻击手段、危害、以及相关防御手段