常见的网络攻击.

1         SYN Attack （ SYN 攻击）：当网络中充满了会发出无法完成的连接请求的 SYN 封包，以至于网络无法再处理合法的连接请求，从而导致拒绝服务 (DoS) 时，就发生了 SYN 泛滥攻击。

2         ICMP Flood （ ICMP 泛滥）：当 ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时，就发生了 ICMP 泛滥。当启用了 ICMP 泛滥保护功能时，可以设置一个临界值，一旦超过此值就会调用 ICMP 泛滥攻击保护功能。如果超过了该临界值，防火墙设备在该秒余下的时间和下一秒内会忽略其它的 ICMP 回应要求。

3         UDP Flood （ UDP 泛滥）：与 ICMP 泛滥相似，当以减慢系统速度为目的向该点发送 UDP 封包，以至于系统再也无法处理有效的连接时，就发生了 UDP 泛滥。当启用了 UDP 泛滥保护功能时，可以设置一个临界值，一旦超过此临界值就会调用 UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的 UDP 封包数超过了此临界值， Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的 UDP 封包。

4         Port Scan Attack （端口扫描攻击）：当一个源 IP 地址在定义的时间间隔内向位于相同目标 IP 地址 10 个不同的端口发送 IP 封包时，就会发生端口扫描攻击。这个方案的目的是扫描可用的服务，希望会有一个端口响应，因此识别出作为目标的服务。 Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置，如果远程主机在 0.005 秒内扫描了 10 个端口（ 5,000 微秒），防火墙会将这一情况标记为端口扫描攻击，并在该秒余下的时间内拒绝来自该源地点的其它封包（不论目标 IP 地址为何）。
余下的选项可用于具有物理接口和子接口的区段

5         Limit session （限制会话）：防火墙设备可限制由单个 IP 地址建立的会话数量。例如，如果从同一客户端发送过多的请求，就能耗尽 Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个 IP 地址建立的最大会话数量。

6         SYN-ACK-ACK Proxy 保护：当认证用户初始化 Telnet 或 FTP 连接时，用户会 SYN 封包到 Telnet 或 FTP 服务器。 Juniper 设备会截取封包，通过 Proxy 将 SYN-ACK 封包发送给用户。用户用 ACK 封包响应。此时，初始的三方握手就已完成。防火墙设备在其会话表中建立项目，并向用户发送登录提示。如果用户怀有恶意而不登录，但继续启动 SYN-ACK-ACK 会话，防火墙会话表就可能填满到某个程度，让设备开始拒绝合法的连接要求。要阻挡这类攻击，您可以启用 SYN-ACK-ACK Proxy 保护 SCREEN 选项。从相同 IP 地址的连接数目到达 syn-ack-ack-proxy 临界值后，防火墙设备就会拒绝来自该 IP 地址的进一步连接要求。缺省情况下，来自单一 IP 地址的临界值是 512 次连接。您可以更改这个临界值（为 1 到 2,500,000 之间的任何数目）以更好地适合网络环境的需求。

7         SYN Fragment （ SYN 碎片）： SYN 碎片攻击使目标主机充塞过量的 SYN 封包碎片。主机接到这些碎片后，会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接，主机的内存缓冲区最终将会塞满。进一步的连接无法进行，并且可能会破坏主机操作系统。当协议字段指示是 ICMP 封包，并且片断标志被设置为 1 或指出了偏移值时，防火墙设备会丢弃 ICMP 封包

8         SYN and FIN Bits Set （ SYN 和 FIN 位的封包）：通常不会在同一封包中同时设置 SYN 和 FIN 标志。但是，攻击者可以通过发送同时置位两个标志的封包来查看将返回何种系统应答，从而确定出接收端上的系统的种类。接着，攻击者可以利用已知的系统漏洞来实施进一步的攻击。启用此选项可使防火墙设备丢弃在标志字段中同时设置 SYN 和 FIN 位的封包。

9         TCP Packet Without Flag （无标记的 TCP 封包）：通常，在发送的 TCP l 封包的标志字段中至少会有一位被置位。此选项将使防火墙设备丢弃字段标志缺少或不全的 TCP 封包。

10     FIN Bit With No ACK Bit （有 FIN 位无 ACK 位）：设置了 FIN 标志的 TCP 封包通常也会设置 ACK 位。此选项将使防火墙设备丢弃在标志字段中设置了 FIN 标志，但没有设置 ACK 位的封包。

11     ICMP Fragment （ ICMP 碎片）：检测任何设置了 “ 更多片断 ” 标志，或在偏移字段中指出了偏移值的 ICMP 帧。

12     Tear Drop Attack （撕毁攻击）：撕毁攻击利用了 IP 封包碎片的重新组合。在 IP 包头中，选项之一为偏移值。当一个封包碎片的偏移值与大小之和不同于下一封包碎片时，封包发生重叠，并且服务器尝试重新组合封包时会引起系统崩溃。如果防火墙在某封包碎片中发现了这种不一致现象，将会丢弃该碎片。

13     Filter IP Source Route Option （过滤 IP 源路由选项）： IP 包头信息有一个选项，其中所含的路由信息可指定与包头源路由不同的源路由。启用此选项可封锁所有使用 “ 源路由选项 ” 的 IP 信息流。 “ 源路由选项 ” 可允许攻击者以假的 IP 地址进入网络，并将数据送回到其真正的地址。

14     Unknown Protocol （未知协议）：防火墙设备丢弃协议字段设置为 101 或更大值的封包。目前，这些协议类型被保留，尚未定义

15     IP Spoofing （ IP 欺骗）：当攻击者试图通过假冒有效的客户端 IP 地址来绕过防火墙保护时，就发生了欺骗攻击。如果启用了 IP l 欺骗防御机制，防火墙设备会用自己的路由表对 IP 地址进行分析，来抵御这种攻击。如果 IP 地址不在路由表中，则不允许来自该源的信息流通过防火墙设备进行通信，并且会丢弃来自该源的所有封包。在 CLI 中，您可以指示 Juniper 设备丢弃没有包含源路由或包含已保留源 IP 地址

16     Bad IP Option （坏的 IP 选项）：当 IP 数据包包头中的 IP 选项列表不完整或残缺时，会触发此选项。

17     IP Timestamp Option （ IP 时戳选项）：防火墙设备封锁 IP 选项列表中包括选项 4 （互联网时戳）的封包

18     Loose Source Route Option ：防火墙设备封锁 IP l 选项为 3 （松散源路由）的封包。此选项为封包源提供了一种手段，可在向目标转发封包时提供网关所要使用的路由信息。此选项是松散源路由，因为允许网关或主机 IP 使用任何数量的其它中间网关的任何路由来到达路由中的下一地址

19     IP Stream Option （ IP 流选项）：防火墙设备封锁 IP 选项为 8 （流 ID ）的封包。此选项提供了一种方法，用于在不支持流概念的网络中输送 16 位 SATNET 流标识符

20     WinNuke Attack （ WinNuke 攻击）： WinNuke 是一种常见的应用程序，其唯一目的就是使互联网上任何运行 Windows 的计算机崩溃。 WinNuke 通过已建立的连接向主机发送带外 (OOB) 数据 ― 通常发送到 NetBIOS 端口 139― 并引起 NetBIOS 碎片重叠，以此来使多台机器崩溃。重新启动后，会显示下列信息，指示攻击已经发生：
An exception OE has occurred at 0028:[address] in VxD MSTCP(01) +
000041AE. This was called from 0028:[address] in VxD NDIS(01) +
00008660. It may be possible to continue normally. （ 00008660 。有可能继续正常运行。）
Press any key to attempt to continue. （请按任意键尝试继续运行。）
Press CTRL+ALT+DEL to restart your computer. You will lose any unsaved information in all 　 applications. （按 CTRL+ALT+DEL 可尝试继续运行。将丢失所有应用程序中的未保存信息。）
Press any key to continue. （按任意键继续。）
如果启用了 WinNuke 攻击防御机制， Juniper 设备会扫描所有进入的 “Microsoft NetBIOS 会话服务 ” （端口 139 ）封包。如果防火墙设备发现某个封包上设置了 TCP URG 代码位，就会检查偏移值、删除碎片重叠并根据需要纠正偏移值以防止发生 OOB 错误。然后让经过修正的封包通过，并在 “ 事件警报 ” 日
志中创建一个 WinNuke 攻击日志条目。

21     Land Attack ： “ 陆地 ” 攻击将 SYN 攻击和 IP 欺骗结合在了一起，当攻击者发送含有受害方 IP 地址的欺骗性 SYN 封包，将其作为目的和源 IP 地址时，就发生了陆地攻击。接收系统通过向自己发送 SYN-ACK 封包来进行响应，同时创建一个空的连接，该连接将会一直保持到达到空闲超时值为止。向系统堆积过多的这种空连接会耗尽系统资源，导致 DoS 。通过将 SYN 泛滥防御机制和 IP 欺骗保护措施结合在一起，防火墙设备将会封锁任何此类性质的企图

22     Malicious URL Protection ：当启用 “ 恶意 URL 检测 ” 时， Juniper 设备会监视每个 HTTP 封包并检测与若干用户定义模式中的任意一个相匹配的任何封包。设备会自动丢弃所有此类封包。

23     Block Java/ActiveX/ZIP/EXE Component ： Web 网页中可能藏有恶意的 Java 或 ActiveX 组件。下载完以后，这些 applet 会在您的计算机上安装特洛伊木马病毒。同样，特洛伊木马病毒 2 也可以隐藏在压缩文件（如 .zip ）和可执行（ .exe ）文件中。在安全区中启用这些组件的阻塞时，防火墙设备会检查每个到达绑定到该区域的接口的 HTTP 包头。会检查包头中列出的内容类型是否指示封包负荷中有任何目的组件。如果内容类型为 ActiveX 、 Java 、 .exe 或 .zip ，而且您将防火墙设备配置为阻塞这些组件，防火墙设备会阻塞封包。如果内容类型仅列出 “ 八位位组流 ” ，而不是特定的组件类型，则防火墙设备会检查负荷中的文件类型。如果文件类型为 ActiveX 、 Java 、 .exe 或 .zip ，而且您将防火墙设备配置为阻塞这些组件，防火墙设备会阻塞封包

24     Deny Fragment ：封包通过不同的网络时，有时必须根据网络的最大传输单位 (MTU) 将封包分成更小的部分（片断）。攻击者可能会利用 IP 栈具体实现的封包重新组合代码中的漏洞，通过 IP 碎片进行攻击。当目标系统收到这些封包时，造成的结果小到无法正确处理封包，大到使整个系统崩溃。如果允许防火墙设备拒绝安全区段上的 IP 碎片，设备将封锁在绑定到该区段的接口处接收到的所有 IP 封包碎片