TCP/IP協議棧–IPV4安全隱患：
1、缺乏資料來源驗證機制。
2、缺乏完整性驗證機制。
3、缺乏機密性保障機制。
應用層：漏洞、緩衝區溢位攻擊、WEB應用的攻擊、病毒木馬等。
傳輸層：TCP欺騙、TCP拒絕服務、UDP拒絕服務埠掃描等。
網路層：IP欺騙、Smurf攻擊、ICMP攻擊、地址掃描等。
鏈路層：MAC欺騙、MAC泛洪、ARP欺騙等。
物理層：裝置破壞、線路偵聽等。

資料鏈路層攻擊方式：
1、MAC欺騙：是一種非常直觀的攻擊，攻擊者將自己的MAC地址更改為受信任的系統地址。
防範措施：在交換機上配置靜態條目，將特定的MAC地址始終與特定的埠繫結。

2、MAC泛洪：
原理：交換機的MAC學習及機制，利用報文的源MAC；
MAC表項點的數目限制，將MAC表充滿，讓合法的MAC地址無法加表，未知單播泛洪；
交換機的轉發機制，依靠MAC表進行轉發。
預防：配置靜態MAC轉發表；
配置埠的MAC學習數目限制。
介面下：mac-limit maxmum X alam enable
3、ARP欺騙：

原理：
①當A與B需要通訊時，A傳送ARP Requset詢問B的MAC地址，B傳送ARP Reply告訴A自己的MAC地址；但是此時中間有個黑客，將A傳送的包進行修改，就導致A與B無法正常通訊。
②HACKER給A和B傳送自己是它們的閘道器,導致AB無法上公網，PPOE（P2P）不會出現。

網路層的攻擊方式：
IP欺騙：

如圖A與B正常通訊前，Sniffer提前將A攻癱，然後再冒充A，這時候B就會與假的A進行通訊，就會擷取資訊。
Smurf攻擊：
原理：

通過PING廣播包的形式，不一定ping 255.255.255.255；
黑客以128.100.100.2為源192.168.1.255為目的傳送一個報文，此時如果192.168.1.0網段的主機足夠多的話，會向128.100.100.2回覆，這時候128.100.100.2就會收到大量的包，若進行某時刻多次攻擊，就會將其搞癱瘓。
防範華為裝置：

在路由器或者防火牆上開啟防smurf攻擊。
ICMP重定向和不可達攻擊：
原理：①當出現次優路徑的時候會產生ICMP重定向，利用內部主機，傳送說自己為下一跳可達，這樣就導致其網段其他主機都會向它發包，導致內部其他主機無法訪問外網；
②或者向被攻擊的網段，傳送一條廣播包，其他主機收到後發現無法訪問128.100.100.2。
IP地址掃描攻擊：掃描活動埠，進行一系列的攻擊。

傳輸層的攻擊方式：
TCP欺騙與TCP/DUP拒絕服務攻擊：

原理：主機B先給A傳送一個tcp報文，此時C利用拒絕服務攻擊將B弄癱瘓，然後通過手段將A發給B的tcp報文截獲，得到序列號和ack，然後冒充B與A tcp通訊。

攻擊者給伺服器傳送大量的TCP，當sever收到後回覆攻擊者，此時攻擊者不會服sever，導致server擁有大量的半tcp連線，佔用大量資源。
攻擊者給伺服器傳送大量的UDP，當sever收到後由於UDP是不需要回復的，直接灌進來導致伺服器癱瘓。
應用層的攻擊方式：
將緩衝區放入大量的資料，將有用資料擠出。
補充（攻擊方式）：
被動攻擊:只偵聽不破壞；
主動攻擊：破壞加截獲；
中間人攻擊：欺騙。