2．4网络中的攻击手段
　　网络中主要的攻击手段就是对服务器实行拒绝服务攻击，用IP欺骗使服务器复位合法用户的连接，使其不能正常连接．还有就是迫使服务器缓冲区满，无法接受新的请求。
　　2．4．1伪造IP欺骗攻击
　　IP欺骗中攻击者构造一个TCP数据，伪装自己的IP和一个合法用户IP相同，并且对服务器发送TCP数据，数据中包含复位链接位(RST)，当发送的连接有错误时，服务器就会清空缓冲区中建立好的正确连接。这时，如果那个合法用户要再发送合法数据，服务器就不会为其服务，该用户必须重新建立连接。
　　2．4．2SYN FLooD攻击
　　SYNFLOOD是利用了TCP协议的缺陷，一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，然后服务器返回一个SYN／ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓冲区队列(BacklogQueue)中。SYNFLOOD攻击就是利用服务器的连接缓冲区，使用一些特制的程序(可以设置TCP报文段的首部，使整个T0P拉文与正常报文类似，但无法建立连接)，向服务器端不断地成倍发送仅有SYN标志的TCP连接请求，当服务器接收的时候，都认为是没有建立起来的连接请求，于是为这些请求建立会话，排到缓冲区队列中，这样就会使服务器端的TCP资源迅速耗尽，当缓冲区队列满时，服务器就不再接收新的连接请求了。其他合法用户的连接都会被拒绝，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。
　　2．4．3ACK Hood攻击
　　用户和服务器之间建立了TCP连接后，信捷职称论文写作发表网，所有TCP报文都会带有ACK标志位，服务器接受到报文时，会检查数据包中表示连接的数据是否存在，如果存在，在检查连接状态是否合法，合法就将数据传送给应用层，非法则服务器操作系统协议栈会回应RST包给用户。对于JSP服务器来说，小的ACK包冲击就会导致服务器艰难处理正常得连接请求，而大批量高密度的ACKFlood会让A．pache或IIS服务器出现高频率的网卡中断和过重负载，最终会导致网卡停止响应。ACKFlood会对路由器等网络设备以及服务器造成影响。
　　2．4．4UDPFlood攻击
　　UDPFlood攻击是利用UDP协议无连接的特点，伪造大量客户端IP地址向服务器发起UDP连接，一旦服务器有一个端口响应并提供服务，就会遭到攻击，UDPFlood会对视频服务器和DNS服务器等造成攻击。
　　2．4．5ICM PFlood攻击
　　ICMPFlood通过Ping产生的大量数据包，发送给服务器，服务器收到大量ICMP数据包，使CPU占用率满载继而引起该TCP／IP栈瘫痪，并停止响应TCP／IP请求，从而遭受攻击，因此运行逐渐变慢，进而死机。
　　除了以上几种攻击手段，在网络中还存在一些其他攻击手段，如宽带DOS攻击，自身消耗DOS攻击，将服务器硬盘装满，利用安全策略漏洞等等，这些需要硬件防火墙对其做出合理有效防御。

　　2．5硬件防火墙防御攻击的策略
　　2．5．1伪造IP欺骗攻击的防御策略
　　当IP数据包出内网时检验其IP源地址，每一个连接内网的硬件防火墙在决定是否允许本网内部的IP数据包发出之前，先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址，该IP包就被拒绝，不允许该包离开内网。这样一来，攻击者至需要使用自己的IP地址才能通过连接网关或路由器。这样过滤和检验内网发出数据包的IP源地址的方法基本可以做到预防伪造IP欺骗攻击。
　　2．5．2SYN FLo0D攻击防御策略
　　硬件防火墙对于SYNFLOOD攻击防御基本上有三种，一是阻断新建的连接，二是释放无效连接，三是SYNCookie和SafeRe．set技术。