DDOS防攻击流量清洗产品 .doc

大客户防DDOS攻击流量清洗产品说明书（内部资料，注意保密）中国网通（集团）有限公司大客户管理部2008年7月前 言随着互联网业务迅速发展，DDOS攻击已经成为用户面临的一个突出安全问题，目前，DDOS攻击已经形成了一条黑色产业链，一些黑客在网站上公开打出了DDOS攻击报价，他们可以根据“客户”的要求，对特定网站进行DDOS攻击，造成恶劣的后果，达到不正当的目的。中国网通作为国内互联网服务的主要提供商，有责任保护用户的业务正常开展，同时也有开展此类防护的先天优势，即在局端侧就通过技术手段将攻击流量过滤掉。防DDOS攻击可以通过流量清洗平台清洗、局端路由器访问控制列表、及时增大接入带宽等多种手段防护，解决大部或者部分问题，其中通过建设防DDOS攻击流量清洗平台进行流量清洗是一种比较完善的办法，能够较好的解决用户的需求。通过市场调研分析，防DDOS攻击的需求主要集中在大客户群体中，特别是那些提供互联网网上服务的用户群体中，比如金融、政府、企业等行业客户。目前，网通北京公司已经为一些客户提供了此类服务，中国电信也推出了防DDOS产品。为了在各省尽快推广防DDOS攻击流量清洗服务， 集团特制定了大客户防DDOS攻击流量清洗产品说明书，介绍了基本概念、业务定位、产品功能、服务等级、资费、体系架构等内容。各省级公司可根据当地市场情况，适时开展此项业务。本产品说明书起草单位： 大客户管理部本产品说明书协助单位： 北京分公司本产品说明书主要起草人：徐清亮、王晓平、李山本产品说明书解释权属于：大客户管理部中国网通拥有本产品说明书的版权，任何厂家未经中国网通书面许可不得向第三方泄露本产品说明书的内容。目 录1.DDOS介绍31.1DDOS概念31.2DDOS攻击类型31.3DDOS造成的影响31.4市场机遇32.产品定义33.产品功能33.1流量检测功能33.2流量清洗功能33.3 客户报表功能33.4 增值功能34.业务提供34.1业务提供方式34.2服务等级35.产品资费36.解决方案建议36.1业务平台构成36.2部署建议37.重点行业应用及典型案例37.1重点行业应用37.2典型案例3附件1：业务受理表格（样本）3附件2：攻击及清洗列表定义31. DDOS介绍1.1 DDOS概念DDOS（Distributed Denial of Service）即"分布式拒绝服务"，是在传统的DOS攻击基础之上产生的一类攻击方式，这种分布式拒绝服务是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的攻击程序，这些被植入攻击程序的主机称为“僵尸主机”，由它们形成僵尸网络，这个僵尸网络等待来自控制中心的命令，对一个特定目标服务器发送尽可能多的网络访问请求，被攻击服务器产生大量等待的TCP连接，导致网络中充斥着大量的无用的数据包，造成网络带宽拥塞，使受害主机无法提供正常的网络服务，严重时会造成系统死机。1.2 DDOS攻击类型DDOS攻击按照其产生的影响来分，可以分为应用型DDOS攻击和带宽型DDOS攻击，此外一些畸形报文攻击也逐渐由单点变成分布式攻击，成为DDOS攻击类型的一部分。1. 应用型DDOS攻击应用型攻击是指利用TCP、HTTP等高层协议或者应用系统的某些特性，通过非法占用被攻击目标的有限资源，从而达到阻止被攻击目标处理合法访问目的。如某个以100M带宽接入网络的WEB主机，在遭受到1M流量的TCP半连接攻击时，可能就已经瘫痪了。针对特定业务模型的攻击，如SYN Flood攻击、TCP全连接攻击、CC攻击、DNS攻击、特定游戏类攻击等都属于此类攻击。2. 带宽型DDOS攻击带宽型DDOS攻击是指通过发出巨大的网络流量，导致被攻击目标在网络路径上发生拥塞，耗尽网络带宽，从而使得被攻击者无法收到合法报文。例如某个WEB主机，受到几百兆甚至几千兆流量的UDP非法报文攻击，即使该WEB主机前有一个最理想的100M的安全设备，能够精确识别出非法攻击报文和合法业务报文，但由于安全设备前面的网络已被非法报文挤占，合法报文根本无法到达或者到达的几率很低。以攻击目的网络为目的的攻击，如UDP FLOOD、ICMP FLOOD攻击都为此类攻击，宽带型攻击和应用型攻击之间并没有明显的界限，很多的应用型攻击都会引发带宽攻击，如TCP FLOOD既是业务型攻击，也是宽带性攻击。3. 其它类型攻击其它类型攻击主要是指利用主机、协议的漏洞，构造畸形或者异常报文导致协议栈失效，系统崩溃、主机死机等后果而无法提供正常的网络服务功能，而造成拒绝服务。常见的此类攻击包括Tear Drop、Land、IP Spoofing、Smurf等。1.3 DDOS造成的影响DOS攻击利用IP协议的无连接的弱点，通过制造大量非法流量，耗尽目标系统资源、挤占网络带宽，此类攻击以其技术门槛低、防护理论和措施缺乏而广泛流行，严重影响了网络的使用。特别僵尸网络Botnet和分布式DDOS攻击相结合而产生的新攻击模式的出现，因控制了数量庞大的终端，集中攻击产生的非法流量十分可观，此类攻击的能量巨大、危害愈来愈严重，不仅影响用户业务使用，同时对运营商滋生网络也造成了严重影响。举例来说：国内网络游戏运营商完美时空2007年6月11日遭受到严重的DDOS攻击，造成了近千万元的经济损失。又如：某运营商IDC 曾遭到12G流量攻击，造成整个IDC间歇性瘫痪，对骨干网、城域网也造成很大冲击。1.4 市场机遇DDOS攻击目前已经从炫耀技术能力变成了有利益驱动的黑色产业链，黑客可以按照“客户”要求对特定的网站或者IP地址进行DDOS攻击，以达到非法目的。目前，黑客在网站上公开打出DDOS攻击的报价，成了典型的网上“黑社会”。这条黑色产业链正在逐步发展和完善，利益驱动下的攻击不再是偶然和不带商业性质，而是必然、伴随着大量经济损失的，并且攻击技术、攻击规模都将朝着对客户更加不利的方向发展。高难度、不可控的攻击已经远远超出了普通客户的攻击抵抗能力。另一方面，在大流量攻击情况下，安全防护由客户接入侧扩散到运营商城域网汇聚至核心侧。拥塞甚至在核心、接入侧就已经形成，客户在接入侧单独部署安全设备已经无法实现防护。在此情况下，运营商作为互联网服务的提供商，有责任保护客户的业务正常开展，同时也有先天的的优势实现客户业务的保护。通过推出防DDOS攻击业务，即能保护客户业务正常开展，体现运营商的的社会责任，又能增加收入，增强客户使用互互联网服务的信息，增加客户在网粘性。2. 产品定义防DDOS攻击防护服务是指网通互联网专线客户在遭受DDOS攻击时，通过防DDOS业务平台，检测到DDOS攻击流量后，通过自动或者手动方法，将攻击流量牵引到防DDOS攻击流量清洗业务平台进行过滤和清洗，将清洗后的正常流量送回用户网络，从而确保用户业务的正常开展。防DDOS攻击服务主要面向大客户市场，特别是以提供互联网服务为盈利模式的用户。如网上银行、网上证券、网上基金、游戏网站、网上招投标、音乐下载网站、门户网站等。客户群包括金融、政府、企业、ISP等。3. 产品功能3.1流量检测功能通过流量检测，实现对SYN Flood、ACK Flood、ICMP Flood、UDP Flood、LAND攻击、Fraggle攻击、Winnuke攻击、Ping of Death攻击、DNS Flood等各类攻击（详见表1 DDOS攻击类型列表）的检测，及时收集并发现各类攻击信息，在确认攻击后，通过联动功能，自动或者手动通知清洗平台进行清洗。3.2流量清洗功能在正常没有任何攻击的情况下，客户流量按照原有的路由和链路转发，当检测到DDOS攻击异常流量时，即通过防DDOS攻击平台进行过滤和清洗，并将正常的流量回送至用户，可以有效防护攻击列表中的各类攻击。表1 DDOS攻击类型列表类型攻击种类描述带宽型攻击UDP Flood攻击漫无目的的针对某个地址发送UDP报文ICMP Flood发送ICMP报文涌塞端口应用型攻击TCP FLOODCC/Http get对同一个地址建立一个完整TCP连接SYN FLOOD对同一个地址发送大量SYN报文ACK FLOOD对同一个地址发送大量ACK报文TCP全连接资源耗尽型攻击UDP FLOODDNS/游戏类攻击对使用UDP协议的DNS服务器、特定类游戏端口发起攻击报文其它方式攻击IP Spoofing攻击防范IP地址伪装类攻击Land攻击防范将源IP和目的IP均设置成攻击目标IP地址Smurf攻击用于攻击一个网络或者是一个主机Fraggle攻击防范类似Smurf攻击，但居于UDP报文WinNuke攻击分片报文攻击ICMP重定向攻击欺骗攻击ICMP不可达报文欺骗攻击IP地址扫描攻击攻击的辅助手段IP源站选路选项攻击防范刺探网络结构的攻击IP路由记录选项攻击刺探网络结构的攻击IP 时间戳选项攻击刺探网络结构攻击TRACERT刺探网络结构攻击PING OF DEATH非法报文攻击TEAR DROP非法报文攻击IP分片报文攻击非法报文攻击超大ICMP报文攻击非法报文攻击3.3 客户报表功能系统可以提供客户分析报表，包含如下部分：1、 客户基本信息：客户的通信信息和客户选择的防DDOS攻击服务等级、防护策略等基本信息。2、 DDOS攻击统计信息：客户统计周期内遭受攻击的目的地址、攻击次数、攻击类型、攻击流量大小、清洗流量大小、统计周期内的攻击TOPN排序等。3、 支持统计报表的图形化显示方式(曲线图|柱图|饼图)，支持以HTML格式显示，支持PDF格式输出。4、 统计周期支持日、周、月及自定义时间段。3.4 增值功能1. 服务器漏洞分析：通过日志分析，统计出攻击地址端口和协议类型，协助客户找出服务器安全漏洞，为服务器安全加固做参考。2. 攻击行为分析：通过日志和报表分析，对用户较长时间段内遭受的攻击进行的分析，找出规律性的特征，比如攻击类型、攻击方法、攻击时间规律等，从而帮助客户有针对性制定防御策略和措施。4. 业务提供4.1业务提供方式通过防DDOS攻击流量清洗业务平台为客户提供防DDOS攻击租用服务，尽管可以自动启动清洗，但鉴于可能存在误清洗风险，建议采用人工启动流量清洗方式。一般业务提供方式如下：1. 根据用户网络及应用情况，双方协商确定DDOS防护策略或者采用通用的防御策略。2. 当平台检测到DDOS攻击时，通知用户，或者用户发现DDOS攻击后，通知网通，均需要获取用户启动流量清洗授权，如传真授权。启动DDOS攻击流量清洗。3. 根据用户要求或者攻击流量小于事先约定条件，在获得用户同意后，停止流量清洗。4. 按月或者按次提供流量清洗报告。4.2服务等级服务等级金银铜服务响应时间（分钟）102030清洗带宽优先保证高中低防御策略是否独享独享独享共享承诺清洗带宽（bps）2G1G500M受保护IP数量（个）=20=10=5说明：1. 服务响应时间定义为用户授权网通可以启动清洗到正式清洗开始时间。2. 承诺清洗带宽为正常流量和攻击流量之和，对于正常流量（互联网接入带宽）比较大的客户，用户在确定清洗带宽时需适当增大。3. 如果用户需清洗流量超过承诺清洗带宽，超过部分缺省方式是丢弃，或者清洗，但需要付费。4. 如果受保护IP地址数量超过承诺保护数量，需要付费。5. 仅承诺清洗攻击列表之内的攻击类型。6. 只负责清洗经过网通直接到用户网络方向的DDOS流量，不包括其它运营商到用户流量。注：攻击带宽测算：1. 根据CNCERT/CC2007年安全报告，大部分木马僵尸网络规模小于1000，中等规模网络约5000，大规模网络约10000，通常“肉机”为了防止被宿主发现每次攻击的发包量在100K 200k bps左右。这样我们可以计算出最常见的DDos攻击强度在大中小僵尸网络攻击流量大约：100200M；5001000M，1000M2000M；2. 根据某城域网对DDOS攻击流量统计，可以看出平均的低中高攻击流量为500M,、1G、2G。攻击流量范围攻击次数所占比例200M 600M11057%600M1G5232%1G2G1710%> 2G4<3%总共193次5. 产品资费防DDOS攻击产品资费可以分为包月方式和计次方式，详见集团市场部关于下发中国网通防DDOS攻击流量清洗产品资费标准的通知（市场函2008409号）。1、包月方式：按照用户选择的不同服务等级，按月收取功能使用费。具体资费标准为：服务等级金银铜承诺清洗带宽（bps）2G1G500M受保护IP数量（个）20105资费标准20万元/月12万元/月8万元/月增加承诺清洗带宽按5万元/500M·月加收增加IP地址超过缺省保护数量，按1万元/个·月加收增值业务增值业务每项按照2万元/次·月收取。说明：（1） 承诺清洗带宽为正常流量和攻击流量之和。（2） 当DDOS攻击流量超过承诺清洗带宽时，超过部分缺省方式为自动丢弃，不收取费用。（3） 如用户需要对超过承诺清洗带宽部分流量进行清洗，则按1万元/100M天加收清洗费用（不足100M按照100M计算）。（4） 只负责清洗经过网通直接到用户网络方向的DDOS流量，不包括其它运营商到用户流量。2、计次式计费模式：用户需要临时使用防DDOS攻击流量清洗业务时，按10万元/500M天收费。6. 解决方案建议6.1 业务平台构成防DDOS攻击流量清洗业务平台由流量检测、流量清洗和管理平台三部分构成。1. 流量检测模块流量检测用于观察现网状况，受保护客户的流量是否正常，是否正在遭受攻击，如果检测到有攻击，那么检测平台将发出告警，经过用户确认（根据用户签署的防护协议），做相应的安全防护措施。目前常用的流量检测技术有两种类型，采样技术（NetFlow）和深度包检测（DPI）技术。l 采样技术：检测设备通过路由器设备发出的Netflow流进行流量的检测，通过放大流量模型，获取粗略的攻击信息。l 深度包检测技术：检测设备通过对现网全流量采集，结合DPI深度包检测技术，提取报文应用层数据进行分析，实现攻击流量、攻击类型的精确识别。考虑到DPI需要一定的算法支撑，比较耗费设备性能，业界先进检测设备可结合DFI（深度流检测）技术和DPI技术一起，在DPI识别之前通过DFI进行流量的统计和建模，当DFI技术鉴定此类流量具有潜在的威胁时，在对此类流量做DPI识别。这样的检测技术能够很好的实现性能和检测准度的平衡，实现应用层面攻击的识别。2. 流量清洗模块在检测设备检测到攻击流量时，将自动或手动将受保护对象被攻击对象的流量牵引到清洗设备，实现对攻击流量的过滤，并将正常流量回送到用户网络，从而使得用户免于遭受攻击，业务正常运行。目前清洗设备主要由基于防火墙设备和基于路由器设备，另外有一些是基于IPS设备原理演进而来的。不同清洗设备实现防范的原理各有所异， 基于防火墙设备防范基础是流表，路由器的检测设备是逐包分析，做流量模型的判定。基于流转发的设备可实现对会话状态的监控，可实现深度业务型攻击的防范。基于逐包转发的设备只能根据流量统计，得出流量模型，做FLOOD攻击防范。3. 平台管理模块平台管理模块实现业务管理和网络管理。业务管理包括客户管理、业务生成、客户报表等功能；网络管理包括系统管理、设备管理、性能管理、日志管理、告警管理、统计分析等功能。6.2 部署建议根据DDOS攻击原理，防DDOS攻击流量清洗平台部署层次越高，远离用户，攻击流量越早被清洗掉，对网络资源的浪费越小，但防范范围较小，比如在骨干网上部署则只能清洗来自它网攻击，省内以下攻击流量不能清洗；流量清洗平台部署层次越低，越靠近用户，防范攻击范围越大，但网络资源浪费也大。基于上述情况，作为面向大客户的服务，如果在远离客户的骨干网上部署是不合适的，建议在省骨干网上部署，取得防范范围和节省资源的平衡。也可以在一些大型城域网出口部署防DDOS攻击流量清洗业务平台。建议部署成双流量清洗模块方式，形成负载分担，互为备份，检测模块可以部署一套，同时与主备清洗模块进行联动，检测攻击流量。 大客户防DDOS攻击流量清洗业务平台部署示意图7. 重点行业应用及典型案例7.1 重点行业应用防DDOS攻击服务主要面向大客户市场，特别是以提供互联网服务为盈利模式的用户。客户群包括金融、政府、企业等，分别说明如下：1. 金融行业：银行网上银行和门户网站、保险公司电子商务和门户网站、证券公司和基金公司网上交易系统等。2. 政府：国家和地方重要政府机构的门户网站、政府对外发布信息和信息查询门户网站等。3. 企业：国内外大型企业门户网站，各类电子商务网站、网上投标、网络游戏、ISP/ICP门户网站等提供互联网服务的企业。7.2 典型案例1. ××银行××银行网上银行是利用互联网技术为广大银行客户提供优质高效金融服务的重要渠道和手段，现有60以上的业务可以通过网上银行进行交易，网上银行的年交易量相当于5000个营业网点交易量的总和。2007年该行网上银行多次遭受DDOS攻击，最严重一次曾造成网银系统瘫痪，网银客户业务交易无法完成，对银行业务的正常使用造成了巨大威胁。网通北京公司针对该行防DDOS攻击服务的需求，利用其新建成的防DDOS平台为客户提供防DDOS攻击服务，具体服务内容如下：（1） 流量检测：7×24小时主动流量检测。（2） 攻击告警：在发生流量异常时，10分钟内提供主动的告警服务。（3） 流量清洗：在客户授权后，10分钟内开始流量的清理，在攻击结束后，通知客户。（4） 报表：提供流量清洗报告。该行采用网通防DDOS服务后，曾进行过多次大流量攻击演练，均能较好实现攻击流量清洗，且不影响网银用户的正常适用，客户感到比较满意。2. 典型案例列表序号客户名称行业防护目标1中国银行金融网上银行2中国建设银行金融网上银行3中国工商银行金融网上银行4中国农业银行金融网上银行5国家开发银行金融门户网站6中国光大银行金融网上银行7北京银行金融网上银行8中信银行金融网上银行9工信部政府门户网站10中航信企业门户网站附件1：业务受理表格（样本）客户基本信息单位名称：联系人：联系方式：固话：手机：邮件：服务等级 金 银 铜清洗带宽（bps）说明：缺省保护带宽 金2G，银1G，铜500M。超出缺省带宽策略：丢弃 清洗 M被保护IP地址：说明：缺省保护数量 金20个，银10个，铜5个，超出将按10000元/个·月加收。防御策略说明：如果选择金或者银，需要根据用户实际情况配置独享的防御策略。选择铜，将使用标准的防御策略。独享防御策略：TCP 阀值： M；UDP 阀值： M；ICMP 阀值： M；其它策略：附件2：攻击及清洗列表定义类型攻击种类定义描述带宽型攻击UDP Flood攻击漫无目的的针对某个地址发送UDP报文针对服务器的普遍攻击，攻击结果是涌塞带宽。小流量攻击对服务器不会造成危害。Icmp Flood发送ICMP报文涌塞端口这类攻击比较少，就是单纯的涌塞端口。应用型攻击TCP FLOODCC/Http get对同一个地址建立一个完整TCP连接采用建立了一个完整的TCP连接的方式绕开清洗设备的检测，消耗服务器的资源。这种攻击方式的源地址一定是真实IP，基本上都是通过僵尸网络驱动攻击。少量攻击对服务器影响很大。SYN FLOOD对同一个地址发送大量SYN报文最常见的一种基于TCP的DDoS攻击技术，采用半连接的方式消耗服务器资源。这种攻击方式的源地址一般采用假冒IP，可以采用URPF等方式防御，但是现在采用僵尸网络驱动的攻击源地址都是真实地址。少量攻击对服务器影响也很大。ACK FLOOD对同一个地址发送大量ACK报文此类攻击采用反弹的僵尸网络攻击方法，通过将源地址设置为同一个IP，使得在同一时间内，目的地址收到大量的ACK回复报文，导致来不及处理而崩溃。TCP全连接资源耗尽型攻击这种攻击主要是绕开防火墙的检测，由于状态防火墙会检测TCP状态，导致单包SYN或者ACK报文无法到达被攻击主机，而采用全连接就可以避开防火墙，而且由于主机都有连接的阀值，在ICP连接过多的情况下就导致服务器资源耗尽而拒绝服务。UDP FLOODDNS/游戏类攻击对使用UDP协议的DNS服务器、特定类游戏端口发起攻击报文针对特定服务器的攻击，攻击报文各式各样，由于服务器打开了对应的端口，会对服务器造成严重的影响。即使没有涌塞带宽也会对攻击服务器。其它方式攻击IP Spoofing攻击防范IP地址伪装类攻击为了获得访问权，入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说，此攻击方法可以导致未被授权的用户可以访问目的系统，甚至是以root权限来访问。即使响应报文不能达到攻击者，同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。Land攻击防范将源IP和目的IP均设置成攻击目标IP地址这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，NT主机会变的极其缓慢Smurf攻击用于攻击一个网络或者是一个主机攻击者发ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这比ping大包的流量高出一或两个数量级。高级的Smurf攻击，主要用来攻击目标主机。方法是将上述ICMP应答请求包的源地址改为受害主机的地址，最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间，才能真正构成攻击Fraggle攻击防范类似Smurf攻击，但居于UDP报文UDP端口7（ECHO）和端口19（Chargen）在收到UDP报文后，都会产生回应。在UDP的7号端口收到报文后，会回应收到的内容，而UDP的19号端口在收到报文后，会产生一串字符流。它们都同ICMP一样，会产生大量无用的应答报文，占满网络带宽。 攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP包，端口号用7或19。子网络启用了此功能的每个系统都会向受害者的主机作出响应，从而引发大量的包，导致受害网络的阻塞或受害主机的崩溃WinNuke攻击分片报文攻击WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB （out-of-band）数据包，引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主机崩溃。还有一种是IGMP分片报文，一般情况下，IGMP报文是不会分片的，所以，不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文，则基本可判定受到了攻击。ICMP重定向攻击欺骗攻击网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。ICMP不可达报文欺骗攻击不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统在收到网络（代码为0）或主机（代码为1）不可达的ICMP报文后，对于后续发往此目的地的报文直接认为不可达，好像切断了目的地与主机的连接，造成攻击。IP地址扫描攻击攻击的辅助手段用来确定哪些目标系统确实存活着并且连接在目标网络上。也有可能使用TCP/UDP报文对一定地址发起连接（如TCP ping），判断是否有应答报文。目前感染蠕虫病毒的计算机，一般会自动向其它计算机发出大量的UDP ,ICMP或TCP报文IP源站选路选项攻击防范刺探网络结构的攻击在IP路由技术中，IP报文的传递路径决定的，但也提供了一种由报文的发送方决定报文传递路径的方法，这就是源站选路选项。它的含义是允许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选择。源站选路选项通常用于网络路径的故障诊断和某种特殊业务的临时传送。因为IP源站选路选项忽略了报文传输路径中的各个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，刺探网络结构IP路由记录选项攻击刺探网络结构的攻击采用记录IP报文从源到目的所经过的路径，也就是一个报文处理路径列表。用于恶意用户刺探网络结构IP 时间戳选项攻击刺探网络结构攻击记录IP报文从源到目的过程中所经过的路径和时间，也就是一个处理过此报文的路由器的列表。IP时间戳选项通常用于网络路径的故障诊断，但也会被恶意攻击者利用，刺探网络结构TRACERT刺探网络结构攻击利用TTL为0返回的ICMP报文，和到达目的地时返回的ICMP端口不可达报文来刺探网络机构。PING OF DEATH非法报文攻击IP报文的长度字段为16位，这表明一个IP报文的最大长度为65535。对于ICMP ECHO Request报文，如果数据长度大于65508，就会使ICMP数据IP头长度(20)ICMP头长度（8）> 65535。对于有些路由器或系统，在接收到一个这样的报文后，由于处理不当，会造成系统崩溃、死机或重启。 所谓Ping of Death，就是利用一些尺寸超大的ICMP报文对系统进行的一种攻击TEAR DROP非法报文攻击Teardrop攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的报文头所包含的信息来实现自己的攻击。IP报文中通过MF位、Offset字段、Length字段指示该分段所包含的是原包的哪一段的信息，某些TCP/IP在收到含有重叠偏移的伪造分段时将崩溃IP分片报文攻击非法报文攻击IP报文中有几个字段与分片有关：DF位、MF位，Fragment Offset 、Length 。如果上述字段的值出现矛盾，而设备处理不当，会对设备造成一定的影响，甚至瘫痪超大ICMP报文攻击非法报文攻击一般来说，网络中传输的ICMP报文都不大，而且对于不同的系统，能够发送和接收的最大ICMP报文的大小也是不一样的，特别是很多ICMP攻击，经常采用超大的ICMP报文，占用大量带宽，因此出现超大的ICMP报文，应为异常现象