1.SYN flood攻击

原理：三次握手时，客户端发送的报文中的源IP地址是一个假IP地址。结果，服务器不知道将SYN包返回给谁。

工具：对于较早版本的windows，可以使用HUC SYN工具

在命令行中输入syn查看命令格式。

2.SYN flood DDOS攻击

目标(服务器)的性能通常很好，普通的单个攻击可能不会特别成功。因此，攻击者控制了肉鸡，在肉鸡服务器上安装了木马，黑客控制了端口。在实验过程中，可以在被攻击端打开wireshark抓取TCP报文进行观察，或者在命令行中查看netstat -an，可以看到大量的TCP连接处于半封闭状态。

防御：添加防火墙或修改TCP注册表信息(regedit)

3.TCP RESET攻击

TCP头中的RST值通常为0，当连接要断开时，RST值为1。攻击者冒充其他客户端发送RESET报文，并断开连接。在集线器网络中，攻击者可以很容易地监听双方的对话并进行模拟，但在交换机网络中，首先需要中间人攻击。

步骤：在kali linux中输入命令ech0 '1'/proc/sys/net/ipv4/ip_forward，启用路由功能，然后模拟两个ip地址：arpspoof -i eth0 -t 192.168.222.1 192.168.222.2;-i eth0 -t 192.168.222.2 192.168.222.1客户机和服务器之间的所有数据包都通过kali发送。在kali: netwox 78 -i "ip"中创建数据包，这是要断开连接的客户机的ip地址

4.UDP flood攻击

原理：攻击者向服务器发送大量UDP报文，服务器发送大量应答。该工具为UDP flood

5.ICMP Smurf攻击

原理：攻击者发送的报文的源ip地址为被攻击者的ip地址，目的ip地址为被攻击者所在网段的广播地址。这样，就会向目标设备发送大量的icmp echo应答。前提是最后一跳路由器可以转发数据包。

————————————————

SYN flood攻击原理及防御

拒绝服务攻击是指攻击者非法占用被攻击对象的部分资源，如带宽、CPU、内存等，使被攻击对象无法响应正常用户的请求。

在我们讨论洪水攻击之前，让我们先看看DoS攻击和DDoS攻击，它们基本上是一样的。前者代表拒绝服务攻击；后者代表分布式拒绝服务攻击。不要看两次攻击前一个多一个字母，一次攻击后比一次攻击前少一个“分布式”三个字，其实它们是具体区分的。

DDoS是DoS攻击的一种方式。让我们来详细看看它们的区别：

DoS(拒绝服务):不是DoS操作系统，DoS攻击行为被称为DoS攻击，其目的是使计算机或网络不能提供正常服务。最常见的DOS攻击是计算机网络带宽攻击和连接攻击。

分布式拒绝服务(DDoS);这种攻击利用client/server技术，将多台计算机联合起来作为攻击平台，对一个或多个目标发动攻击，从而使服务攻击的威力加倍。

简单来说，DDoS的攻击能力要大于DoS。DDoS主要是组攻击。

以上内容是DoS和DDoS攻击的一个概念。为了更直观地说明这一点，我附上了下面的图片：

此图显示了TCP通信的三次握手。如果攻击者发送了第一次握手的数据，然后“消失”，服务器会继续发送第二次握手的数据，但是攻击者找不到。结果，服务器的资源被消耗，直到它崩溃。当然，要完全理解这种机制，您需要对TCP有相当深入的了解。

现在回到我们最初的主题：SYN泛洪攻击，它利用了TCP三次握手机制中的一个缺陷。

TCP SYN泛洪主要发生在OSI的第4层，我将在后面的文章中介绍这一点。利用这个TCP三次握手特性。

A(攻击者)发送TCP SYN，这是TCP三次握手的第一个报文。当服务器返回ACK时，A不再确认，连接处于挂起状态，即半连接。在这种情况下，服务器无法接收到重新确认的消息，并再次向a发送ACK。这将在服务器上浪费更多的资源。A向服务器发送了非法数量的这些TCP连接，由于每个连接都不能完成握手机制，它将消耗服务器的内存，并可能最终导致服务器崩溃，无法正常工作。此外，如果这些半连接握手请求是由恶意程序发出的，并且持续下去，那么服务器将长时间停止服务，从而形成DoS攻击。这种攻击方式称为SYN flood攻击。

那么我们如何防范SYN攻击呢？

实际上，最常用的方法之一是优化主机系统设置。例如，通过减少SYN超时时间，主机可以尽快释放半连接，或者使用SYN cookie设置。如果我们在短时间内收到来自某个IP地址的多次SYN请求，我们认为我们受到了攻击。我们合理地使用防火墙设置和其他外部网络也可以拦截。