1.2.3拒絕服務攻擊

拒絕服務攻擊就是用某種方法耗盡網絡設備、鏈路或服務器資源，使其不能正常提供服務的一種攻擊手段。SYN泛洪攻擊是一種通過耗盡服務器資源，使服務器不能正常提供服務的攻擊手段；Smurf攻擊是一種通過耗盡網絡帶寬，使被攻擊終端不能和其他終端正常通信的攻擊手段。

1.SYN泛洪攻擊

黑客終端偽造多個本不存在的IP地址，請求和Web服務器建立TCP連接，服務器在接收到SYN=l的建立TCP連接請求後，為請求建立的TCP連接分配資源，並發送SYN=l、ACK=l的確認響應。但由於黑客終端是用偽造的IP地址發起的TCP連接建立過程，服務器發送的確認響應不可能到達真正的網絡終端，因此，也無法接收到來自客戶端的確認報文，該TCP連接處於未完成狀態，分配的資源被閑置。當這種未完成的TCP連接耗盡服務器的資源時，就無法對正常的建立TCP連接請求作出響應，Web服務器的服務功能被抑製。正常終端如果接收到SYN=l、ACK=1的確認響應，且自己並沒有發送過對應的建立TCP連接請求，就向服務器發送RST=l的複位報文，使服務器可以立即釋放為該TCP連接分配的資源，因此，黑客終端用偽造的、網絡中本不存在的IP地址發起TCP連接建立過程是成功實施SYN泛洪攻擊的關鍵。

2.Smurf攻擊

黑客終端發送一個以被攻擊終端的IP地址為源IP地址，定向廣播地址為目的IP地址的ICMPECHO請求報文，定向廣播地址是網絡號為某個特定網絡的網絡號，主機號全1的IP地址，以這種地址為目的IP地址的IP分組將發送給網絡號所指定網絡中的全部終端，假定LAN1的網絡號為192.1.1.0/24，黑客終端的IP地址為192.1.1.1，LAN2的網絡號為192.1.2.0/24，被攻擊終端的IP地址為192.1.2.1.LAN3和LAN4的網絡號分別為10.1.0.0/16和10.2.0.0/16，黑客終端發送給LAN3的ICMPECHO請求報文的源IP地址為192.1.2.1，目的IP地址為10.1.255.255。這樣的IP分組在LAN3中以廣播方式傳輸，到達LAN3中的所有終端。由於接收到ICMPECHO請求報文，因此LAN3中所有終端生成並發送以自身IP地址為源IP地址，ICMPECHO請求報文的源IP地址為目的IP地址的ICMPECHO響應報文，這些IP分組一起發送給被攻擊終端，導致被攻擊終端和LAN3之間的數據傳輸通路發生擁塞，使其他網絡中的終端無法和被攻擊終端正常通信。黑客終端能夠阻塞掉被攻擊終端連接網絡的鏈路的主要原因是利用了目標網絡的放大作用，由於定向廣播地址的接收方是特定網絡中的所有終端，因此，黑客終端發送的單個ICMPECHO請求報文將引發特定網絡中的所有終端向被攻擊終端發送ICMPECHO響應報文，如果該特定網絡中有100個終端，那麼黑客終端發送的攻擊報文就被放大了100倍。