常見的 IP 攻擊有哪些

常見的IP攻擊有以下這些：

• 碎片化IP攻擊：發送有效的ip分片包，但偏移地址永遠不結束分片，使得目標及其永遠不能重新組裝成一個有效的ip數據包。

• 格式錯誤的IP攻擊：發送格式錯誤的IP選項，攻擊者發送IP選項字段長度超過38字節的數據包，導致目標TCP/IP堆棧中的緩沖區溢出。

• Nestea型IP攻擊：Nestea攻擊是Teardrop類型碎片攻擊的一種變體，它依賴于某些tcp/IP堆棧中的缺陷，該缺陷導致它們在嘗試以不尋常的方式重新組裝碎片化的數據包時失敗。Nestea的目標是Linux系統，它利用Linux片段重組代碼中的一個bug。

• 短片段IP攻擊：短片段攻擊利用需要對大數據包進行碎片化，然后在其目的地重新組裝。這種攻擊發送的碎片很短，不能包含頭部，這會導致目標在重新組裝后崩潰。

• 淚滴IP攻擊：發送分片包，目標在試圖重建這些數據包時引起崩潰，這些碎片以一種破壞單個數據包頭的方式重疊。

預防IP攻擊的方法有以下這些：

• 對于來自網絡外部的欺騙，防范的方法很簡單，只需要在局域網的對外路由器上加一個限制設置就可以實現了，在路由器的設置中禁止運行聲稱來自于網絡內部的信息包。

• 通過對信息包的監控來檢查IP欺騙攻擊將是非常有效的方法，使用netlog等信息包檢查工具對信息的源地址和目的地址進行驗證，如果發現信息包是來自兩個以上的不同地址，則說明系統有可能受到了IP欺騙攻擊，防火墻外面正有黑客試圖入侵系統。

• 對于來自局域網外部的IP欺騙攻擊的防范則可以使用防火墻進行防范，但是對于來自內部的攻擊通過設置防火墻則起不到作用。這個時候應該注意內部網的路由器是否支持內部接口。如果路由器支持內部網絡子網的兩個接口，則必須提高警惕，因為它很容易受到IP欺騙，這也正是為什么Web服務器放在防火墻外面更加安全的原因。

• 保護自己免受信任關系欺騙攻擊最容易的方法就是不使用信任關系，但這并不是最佳的解決方案。不過可以通過做一些事情使信任關系的暴露達到最小。首先，限制擁有信任關系的人員。相比控制建立信任關系的機器數量，決定誰真正需要信任關系更加有意義。

• 部署防火墻：這點很有必要，防火墻可以通過設置策略將特定訪問請求阻擋在外面，保證內網服務器的安全。

• 更換端口：一般黑客會掃描一些常用的端口后進行攻擊，比如遠程桌面的3389以及數據庫的1433端口，都屬于高危端口，所以我們不要將默認端口號直接映射出去，更不要開DMZ，這都是很危險的操作。

• 數據備份：想做到滴水不漏真的很難，所以我們應該養成數據定期備份的好習慣，一旦服務器出現了問題，不會影響到我們的數據。

回答所涉及的環境：聯想天逸510S、Windows 10。