随着网络应用服务的爆发式增长，黑客技术网络攻击也开始大行其道，由网络攻击引起的安全事件也时有发生，所以其硬件支撑平台——服务器群的网络安全也越发凸显其重要性。

　　应对网络攻击的关键技术

　　常见的网络攻击的分类

　　常见的网络攻击可分为拒绝服务型攻击、扫描窥探攻击和畸形报文攻击三大类。

　　1.拒绝服务型攻击

　　(1)DoS（Deny of Service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，或者主机挂起不能提供正常的工作。DoS攻击有SYNFlood、Fraggle等。拒绝服务攻击和其他类型的攻击的不同之处在于：攻击者并不是去寻找进入内部网络的入口，而是阻止合法用户访问资源或路由器。

　　(2)DDoS（Distributed Denial of Service）攻击是一种DoS攻击。这种攻击是使用攻击者控制的几十台或几百台计算机攻击一台主机，使系统无法接受正常用户的请求，或者挂起不能正常的工作。

　　2.扫描窥探攻击

　　扫描窥探攻击是利用ping扫射（包括ICMP和TCP）来标识网络上运行的系统，从而准确地指出潜在的目标：利用TCP和UDP端口扫描，就能检测出操作系统和监听者的潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备。

　　3.畸形报文攻击

　　畸形报文攻击是通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的IP包时出现崩溃，给目标系统带来损失。畸形报文攻击有PingofDeath、Teardrop等。

　　拒绝服务攻击举例

　　1.TCP泛洪

　　攻击的原理是向目标设备发送大量伪装连接的请求包，这些请求包的发起地址设置为目标不可到达的地址，这样对被攻击对象的第二次握手没有主机响应，造成被攻击对象主机内部存在大量的半开连接，以至于新的正常连接不能进入，从而造成服务停顿甚至死机。

　　2.SMURF攻击

　　SMURF攻击是一种源地址欺骗攻击，攻击者假冒被攻击对象的IP地址向设备发送大量的广播ICMPecho请求报文。因为每个包的目标IP地址都是网络的广播地址，所以设备会把ICMPecho请求报文以广播形式发给网络上的所有主机。如果有大量主机，那么这种广播就会产生大量的ICMPecho请求及响应流量，而且在发送ICMPecho请求数据包时，使用了假冒的源IP地址，所以攻击造成的ICMP流量不仅会阻塞网络，而且会产生攻击流量。

图1 SMURF攻击案例

　　如图1，Attacker仿冒SwitchB的地址对SwitchC进行攻击，如果SwitchC上的网络管理员检测到攻击，将会配置防火墙规则，将所有来自SwitchB的报文过滤，导致无辜的SwitchB无法访问SwitchC。此时，被攻击系统的管理员反而成为黑客的“帮凶”，使一些合法用户失去合法访问的权限。

　　从这些例子可以看出，黑客利用源地址欺骗，一是可以隐匿身份，让人难以发现攻击的源头，二是通过被攻击目标，发起对其他合法用户的攻击，造成一箭双雕的效果。而这些攻击，仅仅依靠被攻击系统加强防范是无法预防的，必须通过所有接入端设备，对用户的源地址进行反查，并依据其合法性对报文进行过滤，这样才能从源头抑制攻击，保护合法用户享受服务的权利。