🏆 作者简介，愚公搬代码
🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，51CTO博客专家等。
🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。
🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。
🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

网络层攻击是指针对网络层协议（如IP协议）的攻击。这些攻击旨在破坏网络通信、拒绝服务、窃取数据等。以下是网络层攻击的一些常见类型：

1. IP地址欺骗：攻击者使用虚假的IP地址，伪装成其他合法主机或者隐藏自己的真实IP地址，以进行攻击、欺骗或匿名操作。

2. IP分片攻击：攻击者通过发送大量的IP分片数据包，使目标主机的网络资源被消耗或者造成服务拒绝。

3. IP源路由欺骗：攻击者在IP数据包中伪造源地址和路由信息，使目标主机误认为数据包来自合法的源地址，可能导致信息泄露或者伪造数据包攻击。

4. IP欺骗攻击：攻击者伪造或篡改IP数据包中的源和/或目的IP地址，以绕过网络安全措施、欺骗系统或者进行网络钓鱼、中间人攻击。

5. IP碎片化攻击：攻击者通过发送大量分片报文，使目标主机资源被消耗，导致系统性能下降或服务不可用。

对于网络层攻击的应急响应，以下是一些常见的措施：

1. 网络监控：实施实时的网络监控，以便及时检测和识别网络层攻击，包括异常流量、异常IP地址等。

2. 日志分析：分析网络设备和服务器的日志，查找异常行为和事件，快速发现和响应网络层攻击。

3. 防火墙配置：配置防火墙规则，限制不必要的流量和防止一些常见的网络层攻击，可以通过封堵特定IP地址或端口等。

4. 流量过滤：使用流量过滤工具来检测和过滤异常的网络流量，阻止攻击者对网络层协议的滥用和攻击。

5. 更新和修补漏洞：及时更新和修补网络设备和操作系统的漏洞，以防止攻击者利用已知漏洞进行网络层攻击。

6. 响应计划：制定网络层攻击的应急响应计划，包括定义责任人、联络流程、响应步骤等，以便在发生攻击时能够快速响应和恢复网络功能。

网络层攻击的分析与应急响应需要综合使用技术工具、网络监控和日志分析等手段，及时发现和应对攻击行为，保障网络的安全和可用性。

以下内容属于固定流程，来源于书本整理。

🚀一、网络层攻击分析与应急响应演练

网络层主要用于寻址和路由，不提供错误纠正和流控制服务。它将所有上层通信封装到IP数据报中，包括TCP、UDP、ICMP和IGMP等协议。尽管网络层的安全威胁较少，但它在主机到主机通信中起到了重要的帮助作用。网络层的安全性优点是透明性，不需要改动应用程序等其他部件来提供安全服务。然而，网络层的安全性缺点是缺乏对不同进程和相应条例的区别处理，可能导致功能不足和性能下降。

🔎1.网络层 DDoS 攻击的防御方法

目前，进行DDoS攻击的防御还是比较困难的。首先，这种攻击的特点是它利用了 TCP/IP 的漏洞，除非不使用TCP/IP才有可能完全抵御 DDoS攻。

虽然它难于防范，但实际上防止 DDoS 攻击也并不是绝对不可能的事情Intemet的使用者是各种各样的，在与 DDoS 的战斗中，不同的角色有不同的任务。下面以企业网络管理员、ISPICP管理员、骨干网络运营商为例分别进介绍。

🦋1.1 企业网络管理员

网络管理员作为企业内部网络的管理者，往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务，因而不可避免地成为DDoS的攻击目标，那么他该如何抵御DDoS攻击呢?可以从主机与网络设两个角度考虑。

1)主机上的设置

几乎所有的主机平台都有抵御DDoS的设置，基本的有以下几种。
(1)关闭不必要的服务。
(2)限制同时打开的 SYN 半连接数目。
(3)缩短 SYN 半连接的 time out 时间
(4)及时更新系统补丁。

2)网络设备上的设置

企业网的网络设备防火墙和路由器是与外界的接口设备，在进行防DDoS设置的同时，要注意可用性和安全性之间的平衡。

防火墙的设置如下。

(1)禁止对主机非开放服务的访问。
(2)限制同时打开的 SYN 最大连接数。
(3)限制特定IP地址的访问。
(4)启用防火墙的防 DDoS 属性。
(5)严格限制对外开放服务器的向外访问。

路由器的设置如下(以Cisco 路由器为例)。

(1)使用 Cisco Express Forwarding(CEF)。
(2)使用unicast reverse-path。
(3)访问控制列表(ACL)过滤。
(4)设置SYN 数据包流量速率。
(5)升级版本过低的 ISO。
(6)为路由器建立 log server。

其中，设置 CEF和Unicast 时要特别注意，如果设置不当会造成路由器作效率严重下降。升级IOS时也应谨慎。

🦋1.2 ISP/ICP 管理员

ISP/ICP为很多中小型企业提供了各种规模的主机托管业务，所以在预防DDoS 攻击时，除了使用与企业网管理员一样的操作方法外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。

🦋1.3 骨干网络运营商

骨干网络运营商提供了Internet存在的物理基础。如果骨干网络运营商能很好地进行合作，那么 DDoS 攻击就可以很好地被预防。在Yahoo等知名网站被攻击后，美国的网络安全研究机构提出了骨干运营商联手解决 DDoS 攻击的方案。其实方法很简单，就是每家运营商在自己的出口路由器上进行源P地址的验证，如果路由表中没有找到这个数据包源IP的路由，就丢弃该数据包。这种方法可以阻止黑客利用伪造的源IP进行DDoS攻击。其缺点是会降低路由器的效率。

对 DDoS的原理与应对方法的研究一直在进行中，而找到既有效又切实可行的方案并不是一朝一夕的事情。但目前至少可以做到把自己的网络与主机维护好。首先，让自己的主机不成为别人利用的对象去攻击别人。其次，在受到攻击时要尽量地保存证据，以便事后追查，所以一个良好的网络和日志系统是必要的。总之，无论 DDoS 的防御向何处发展，都需要IT界的同行一起关注，通力合作。

🔎2.网络抓包重现与分析

🦋2.1 实验目的

(1)尝试开展网络监听。
(2)使用 Nmap 扫描端口。
(3)使用 tcpdump 抓包。
(4)使用 Wireshark 分析数据包。

🦋2.2 实验内容

使用 Nmap 进行扫描或攻击，使用tcpdump进行监听抓包，使用Wireshark进行数据包分析。

🦋2.3 实验步骤

(1)开启 tcpdump 监听抓包，如图所示。

tcpdump工具的参数说明如下。

① tcp：ip、icmp、arp、rarp和 tcp、udp、icmp 这些选项都要放到第一个

tcpdump ip -i eth0 -t -s 0 -c 100 src net 192.168.182.129 -w ./target.cap

② -ieth0：只抓经过接口 eth0 的包。
③ -t：不显示时间戳。
④-s 0：抓取数据包时默认抓取长度为68 byte，加上“-s0”参数后可以抓到完整的数据包。
⑤-c 100：只抓取 100 个数据包。
⑥ src net 192.168.182.129：数据包的源网络地址为192.168.182.129。
⑦-w ./target.cap:保存成 cap 文件，方便使用 Wireshark进行分析。

(2)测试Windows设备 ping 通 Kali 时的抓包，如图所示。

(3)通过 Wireshark 分析抓包结果，如图所示。

(4)Kali Linux 通过"nmap -sS 192.168.182.1”命令获得 Windows开通的服务，并重复步骤(1)~步骤(3)，得到监听数据包后用Wireshark打开，可查看获得的扫描工具 nmap 的攻击数据包，如图所示。

🔎3.分析数据包寻找发起网络扫描的IP

在Wireshark软件中，通过菜单“文件”一“打开”命令读取网络数据包,如图所示。

运行菜单“统计”→“会话”命令，Wireshark将自动分析数据并显示分析结果，如图所示。

在IPv4选项卡中，可以看到各个IP的通信情况汇总，其中192.168.182.129与192.168.82.1有通信从而可以判定192.168.182.129为网络扫描的IP。

🔎4.通过 TCP 三次握手判断端口开放情况

所谓 TCP的“三次握手”，即对每次发送的数据量如何跟踪进行协商，使数据段的发送和接收同步，根据所接收的数据量而确定数据发送、接收完毕后何时撤销联系，并建立虚连接。

为了提供可靠的传送，TCP在发送新的数据之前，会以特定的顺序命名数据包的序号，并需要这些包传送给目标主机之后的确认消息，当应用程序收到数据后要做出确认时也要用到 TCP。TCP 三次握手过程如图所示。

下面判断 192.168.88.156 的 135 端口是否开放，用到了 TCP 的三次握手理论在Wireshark 的过滤器中输入ip.addr-192.168.88.156 and tcp.port–135.

🦋4.1 第一次握手

192.168.88.151发送Syn=1 Seq=0到192.168.88.156，如图所示。

🦋4.2 第二次握手

192.168.88.156发送Syn=1 Ack=1 Seq=0到192.168.88.151，如图所示。

🦋4.1 第三次握手

192.168.88.151发送Ack=1 Seq=1到192.168.88.156，如图所示。

通过完整的三次握手,说明192.168.88.151访问192.168.88.156的135端口的TCP连接是成功的，同时可以确认192.168.88.156的135端口是开放的。

🚀感谢：给读者的一封信

亲爱的读者，

我在这篇文章中投入了大量的心血和时间，希望为您提供有价值的内容。这篇文章包含了深入的研究和个人经验，我相信这些信息对您非常有帮助。

如果您觉得这篇文章对您有所帮助，我诚恳地请求您考虑赞赏1元钱的支持。这个金额不会对您的财务状况造成负担，但它会对我继续创作高质量的内容产生积极的影响。

我之所以写这篇文章，是因为我热爱分享有用的知识和见解。您的支持将帮助我继续这个使命，也鼓励我花更多的时间和精力创作更多有价值的内容。

如果您愿意支持我的创作，请扫描下面二维码，您的支持将不胜感激。同时，如果您有任何反馈或建议，也欢迎与我分享。

再次感谢您的阅读和支持！

最诚挚的问候， “愚公搬代码”