为什么需要攻击防范？

首先来看一下当前网络面临的安全威胁

1、畸形报文攻击

　　通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP标志位非法的报文，使得目标系统在处理这样的IP报文时崩溃。主要的畸形报文攻击有Ping of Death、Teardrop等。

2、Dos/DDos攻击

　　使用大量的数据包攻击目标系统，使目标主机无法接受正常用户的请求，或 者使目标主机瘫痪，不能正常工作。主要的DoS/DDoS攻击包括：Smurf、Land、WinNuke、SYN Flood、UDPFlood和ICMP Flood攻击。

3、扫描窥探攻击

　　利用ping扫描（包括ICMP和TCP）标识网络上存在的活动主机，从而可以准确地定位潜在目标的位置；利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入目标系统做好准备。

4、Smurf攻击

　　向目标网络主机发送ICMP echo请求报文，该请求报文的源地址为被攻击主机的地址，目 的地址为广播地址，这样目标网络的所有主机都对此ICMP应答请求做出答复，导致被攻 击主机瘫痪。
　　

5、Land攻击

　　利用TCP连接建立的三次握手机制，发送大量的TCP SYN报文到被攻击对象（TCP SYN报文的源和目的地址都设置为受攻击者的IP地址），导致受攻击者创建大量的空TCP连接，最终系统资源耗尽。
　　

6、WinNuke攻击

　　WinNuke攻击是针对任何运行Windows的主机的DoS攻击。通过向目标主机的NetBIOS端
口（139）发送OOB（Out-of-Band）数据包，这些攻击报文的指针字段与实际的位置不符，
引起一个NetBIOS片断重叠，致使已经与其它主机建立TCP连接的目标主机在处理这些数
据的时候崩溃。

7、SYN Flood攻击

　　在采用IP源地址欺骗行为的基础上，利用TCP连接建立时的三次握手过程形成的，是一种通过向目标服务器发送大量TCP SYN报文，消耗其系统资源，削弱目标服务器的服务提供能力的为。

防火墙对各类攻击防范

1、端口扫描防范

　　目的是获取网络上的活动主机开放了哪些端口，为进一步攻击做准备。

2、ICMP Flood攻击防范

　　通过短时间内向特定目标系统发送大量的ICMP消息（如执行ping程序）来请求其回应，致使目标系统忙于处理这些请求报文而不能处理正常的网络数据报文。

3、UDP Flood攻击防范

　　通过在短时间内向特定目标发送大量的UDP消息，导致目标系统负担过重而不能处理正常 的传输任务。

4、基于TCP半开连接数限制方法防范SYN Flood攻击

　　在防火墙上设置内网受保护服务器允许的半开连接数阈值，如果客户端发起的TCP连接请 求超过指定阈值，则认为服务器遭受了SYN Flood攻击。