什么是泛洪

洪泛，一般人会想到洪水的泛滥！但是在通信工程中，洪泛（Flooding，也叫泛洪），是指交换机和网桥使用的一种数据流传递技术，将从某个接口收到的数据流向除该接口之外的所有接口发送出去，它不要求维护网络的拓扑结构和相关的路由计算，仅要求接收到信息的节点以广播方式转发数据包，直到数据传送至目标节点或者数据设定的生存期限(TTL,Time To Live)为0为止。

泛洪的过程一般指交换机根据收到数据帧中的源MAC地址建立该地址同交换机端口的映射，并将其写入MAC地址表中。交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较，以决定由哪个端口进行转发。如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。

泛洪攻击的种类

由于洪泛是从某个接口收到的数据流向除该接口之外的所有接口，于是攻击者就可以通过对网络资源发送过量数据时就发生了洪水攻击，这个网络资源可以是router，switch，host，application等。常见的泛洪攻击种类分为，SYN、DHC以及ARP报文泛洪攻击。

SYN攻击利用TCP协议的特性，也就是三次握手机制，攻击者利用伪造ip地址发送TCP SYN（SYN即TCP三次握手的第一个数据包），当服务器返回ACK后，该攻击者不对之进行确认，该TCP链接则处于挂起状态，则半链接状态，服务器收不到确认信息，则会重复发送ACK，这样就能起到消耗服务器资源的作用，当攻击者发生大量该类TCP链接时，服务器由于无法完成三次握手持续消耗CPU和内存最终导致死机，不过该方法可以通过路由器的TCP拦截功能进行保护。

DHCP报文泛洪攻击，用户恶意利用工具伪造大量DHCP报文发送到服务器，恶意耗尽了IP资源，阻挡正常用户无法获得IP，另一方面,如果交换机上开启了DHCP Snooping功能，会将接收到的DHCP报文上送到CPU，因此大量的DHCP报文攻击设备会使DHCP服务器高负荷运行，甚至会导致设备瘫痪，当然服务器一端的协议栈会留一块缓冲区来处理“握手”过程中的信息交换，但是大量半连接挂起足以耗尽服务器资源。

ARP报文泛洪类似DHCP泛洪，同样是恶意用户发出大量的ARP报文，造成设备的ARP表项溢出，影响正常用户的转发。

洪泛攻击的攻击方法

除了以前攻击种类，攻击方法还包括，ICMP泛洪，ICMP反射泛洪，TCP LAND，UDP FLOOD死亡之ping，MAC泛洪以及DDOS和最后应用程序泛洪等。

ICMP泛洪（ICMP flood），用户利用ICMP报文进行攻击，攻击者向目标主机发 送大量的ICMP ECHO报文产生ICMP泛洪，主机由于需要处理大量该类报文导致时间资源被大量占用后无法处理正常请求，从而达到攻击的手法。 

ICMP泛洪，Smurf IP利用广播地址发送ICMP包，一旦广播被该区域内主机回应，这些发包都会回应给伪装IP地址，而伪装IP地址可以为任何地址，黑客若是不停发送该类发包，就会造成Dos攻击。

TCP LAND攻击，都是通过发送请求连接的TCP SYN报文而实现对目标主机的攻击，但是不同的是，LAND发送的是经过精心构造的欺骗数据包，且源IP地址和目的IP地址是相同的，由于发送地ip与接收IP都是自己，因为这个ACK 报文就会出现发送给自己的现象，致使缺乏相应防护机制的目标设备瘫痪，该方法早在1997年被人以“m3lt”的名称提出，后在Windows Server 2003、Windows XP SP2等操作系统中重现。

UDP FLOOD泛洪原理与ICMP类似，只不过发送的是UDP报文。

死亡之ping则利用的是早期路由器对包的最大尺寸限制，通过操作系统对TCP/IP栈的实现为ICMP包上规定64KB的上限限制，通过超过上限导致出现，内存分配错误，导致TCP/IP堆栈崩溃，致使接受方宕机。

MAC泛洪发生在OSI第二层，攻击者进入LAN内，将假冒源MAC地址和目的MAC地址将数据帧发送到以太网上导致交换机的内容可寻址存储器（CAM）满掉，然后交换机失去转发功能，导致攻击者可以像在共享式以太网上对某些帧进行嗅探，这种攻击可以通过端口安全技术方式，比如端口和MAC地址绑定。

DDos发生在OSI第三、四层，攻击侵入许多因特网上的系统，将DDos控制软件安装进去，然后这些系统再去感染其它系统，通过这些代理，攻击者将攻击指令发送给DDos控制软件，然后这个系统就去控制下面的代理系统去对某个IP地址发送大量假冒的网络流量，然后受攻击者的网络将被这些假的流量所占据就无法为他们的正常用户提供服务了。

最后应用程序泛洪发生在OSI第七层，目的是消耗应用程序或系统资源，比较常见的应用程序泛洪是什么呢？没错，就是垃圾邮件，但一般无法产生严重的结果。其它类型的应用程序泛洪 。

相关区别介绍

广播帧，在所有网络中，广播帧是不可避免的，它都会以”FF.FF.FF.FF.FF.FF”帧格式存在，假设发射端无法确定B接收端的位置，就需要向网络发射一个ARP用以确认B的MAC地址，这个请求便是广播包。

但是，泛洪虽然与MAC列表相关，在缓存中是存在的，有确定的MAC地址。只有在MAC表中找不到具体转发的端口和MAC的配对，才会开始泛洪处理，但是泛洪并不是广播帧，泛洪操作广播的是普通数据帧而不是广播帧，广播是向同一子网内所有的端口（包括自己的那个端口）发送消息；泛洪只是在所有的端口中不包括发送消息的（自己的）那个端口发送消息。

素材引用来源自：百度百科-洪泛,泛洪