内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其他主机的数据包全部被丢弃。
防御策略：对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用
内部源地址的数据包的方法来挫败。源路由攻击是源站点指定了数据包在I
temet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。
防御策略：只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的
3极小数据段式攻击：入侵者使用了IP分段的特件，创建极小的分段并强行将TcP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。
f防御策略：对于这种类型的攻击，只要丢弃协议类型为TCP，IPFragme
tOffet等于1的数
据包就可安然无恙。2）针对DosDDos攻击的防墙策略
拒绝服务攻击，简单有效并且危害很大的一种攻击方法，通过消耗网络带宽和系统资源，或者攻击系统缺陷，使系统瘫痪，不能对正常服务进行服务。
DDOS攻击模型
攻击者用DDOS工具找到脆弱主机，自动实施攻击，在上面安装Rootkit软件。第一批脆弱主机称为操纵者，然后操纵者找到第二批脆弱主机，称作代理，通过创建这个二级系统，攻击者能隐蔽其源IP地址，从操纵者发动攻击。
网络防火墙的模拟实验
fr