『军事智能分享-赛博空间作战系列(6)』什么叫数据包洪泛攻击？在未联网状态是否会遭到攻击？常见的赛博空间网络攻击主要有七类，前面介绍了三类，今天介绍另四类。

四、“水坑”式攻击。原意指利用水坑将动物吸引到特定区域为狩猎提供方便。其攻击方式不是使用网络钓鱼方式，而是通过掌握用户上网习惯来策划攻击，等待用户自己访问被感染的合法网站。其流程是：第一步，攻击者通过开源情报窃取目标用户上网习惯，从而得到一组被经常访问的网站；第二步，检测这些网站的漏洞，并利用漏洞注入恶意代码；第三步，等待用户访问受感染的网站，然后通过网页挂马下载技术，将恶意软件安装到用户系统中；第四步，一旦浏览器漏洞被利用，系统被恶意软件感染，远程访问操作RAT就会被下载到被感染系统上，攻击者可以利用远程操作控制用户系统。

五、自带感染载体USB。当用户系统没有连接互联网时，类似U盘或移动硬盘这样的通用串行总线USB设备，是将病毒从一个地方传染到另一个地方的最佳介质。这种方式针对工业控制系统等关键基础设施的攻击比较有效。美国对伊朗实施的“震网”病毒就是通过摆渡的方式，对伊朗浓缩铀离心机实施了攻击，导致大量机器损毁。美国有关行业曾报告，第三方厂商使用被感染的USB设备对汽轮机控制系统进行了更新，导致该控制系统感染，三周无法工作；同样美国新泽西州一家公司的控制系统被感染，攻击者控制了加热和空调系统导致严重安全隐患。

六、拒绝服务数据包洪泛。是指发送大量数据包到一个或多个目标机器，使它们丧失正常网络通信能力。利用几百台机器组成的小规模僵尸网络，攻击者就可以对一个中型组织Web站点进行数据包洪泛攻击并使其瘫痪。2007年针对爱沙尼亚的攻击是一个大规模的行动，它是由几个相互协作的僵尸网络发动的。大规模洪泛攻击，可能会针对特定组织、一个国家的相关系统甚至整个互联网。其中最频繁和典型的是SYN同步洪泛攻击、HTTP超文本传输协议洪泛攻击和域名系统DNS放大攻击。

SYN同步洪泛攻击主要是破坏TCP会话握手过程。互联网数据传输是通过TCP三次握手协议来实现的。为了实现一个连接，发起主机产生一个TCP SYN同步数据包，包含一个序列号，而这个序列号是发起主机传输到另一端接收机所有数据包的初始序列号。如果接收机应答这次连接请求，那么它会发送一个SYN-ACK数据包给发起主机，一方面指明自己应答了刚接受到的序列号，另一方面为后续所有响应数据包同步一个新的初始序列号。然后，发起主机会发送一个ACK数据包，对接收机将要使用的序列号进行应答。这样两个系统就完成三次握手。SYN同步洪泛攻击通过发起一个TCP连接，主动使整个连接过程在第二步失效，以此来破坏三次握手过程。例如攻击者发动发送一个SYN数据包，然后接收方回送一个SYN-ACK数据包，而后攻击者不再发送ACK数据包来完成三次握手，在目标机器上留下一个等待响应的半开连接。如果这种未完成的交换过程每秒重复成千上百万次，那么目标机器将无法响应其他正常请求。

HTTP超文本传输协议洪泛攻击，是把自己装扮成合法的流量，但却包含大量的伪合法请求，造成检测工具无法从正常流量中辨别这种攻击。域名系统DNS放大攻击，是攻击者向成千上万个第三方DNS服务器发送小型查询数据包，每一个查询都会引起服务器发送一个更大的响应数据包，从而引起流量负载的放大。为了把这种流量引向目标受害主机，攻击者会以伪造受害主机的源地址发送每一个查询包，使得数据包看起来好像是从受害主机发过来的，发送到受害主机的答复流量将彻底耗尽其网络连接。DNS放大产生的泛红流量，速率一度超过20Gb/s。

七、基础设施组件漏洞。探测骨干路由器或者DNS域名服务器等基础设施的脆弱性，攻击者可能会故意触发漏洞和缺陷来损害系统，造成目标机器崩溃。