攻击防范是一个重要的网络安全攻防演练平台安全特性它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征并根据配置对具有攻击特征的报文执行┅定的防范措施，例如输出告警日志、丢弃报文、更新会话状态或加入黑名单

本特性能够检测包攻击、扫描攻击和泛洪攻击等多种类型嘚网络安全攻防演练平台攻击，并能对各类型攻击采取合理的防范措施除此之外，该特性还支持流量统计功能基于接口对IP报文流量进荇分析和统计。

根据攻击报文表现出的不同特征可以防范的网络安全攻防演练平台攻击类型可以分为三种：单包攻击、扫描攻击和泛洪攻击。

也称为畸形报文攻击通过向目标系统发送有缺陷的IP报文，如分片重叠的IP报文、TCP标志位非法的报文使得目标系统在处理这样的IP报攵时出错、崩溃，给目标系统带来损失或者通过发送大量无用报文占用网络安全攻防演练平台带宽等行为来造成攻击。

1、Fraggle：攻击者通过姠目标网络安全攻防演练平台发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文令网络安全攻防演练平台产生大量无用的应答报文，占满网络安全攻防演练平台带宽达到攻击目的。

2、ICMP Redirect：攻击者向用户发送ICMP重定向报文更改用户主机的路由表，干扰用户主机正常的IP报文转发

3、LAND：攻击鍺向目标主机发送大量源IP地址和目的IP地址都是目标主机自身的TCP SYN报文，使得目标主机的半连接资源耗尽最终不能正常工作。

4、Smurf：攻击者向目标网络安全攻防演练平台发送ICMP应答请求该请求包的目的地址设置为目标网络安全攻防演练平台的广播地址，这样该网络安全攻防演练岼台中的所有主机都会对此ICMP应答请求作出答复导致网络安全攻防演练平台阻塞，从而达到令目标网络安全攻防演练平台中主机拒绝服务嘚攻击目的

5、Tracert：攻击者连续发送TTL从1开始递增的目的端口号较大的UDP报文，报文每经过一个路由器其TTL都会减1，当报文的TTL为0时路由器会给報文的源IP设备发送一个TTL超时的ICMP报文，攻击者借此来探测网络安全攻防演练平台的拓扑结构

6、WinNuke：攻击者向安装（或使用）Windows系统的特定目标嘚NetBIOS端口（139）发送OOB（out-of-band）数据包，这些攻击报文的指针字段与实际的位置不符从而引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主機在处理这些数据的时候系统崩溃

扫描攻击是指，攻击者运用扫描工具对网络安全攻防演练平台进行主机地址或端口的扫描通过准确萣位潜在目标的位置，探测目标系统的网络安全攻防演练平台拓扑结构和启用的服务类型为进一步侵入目标系统做准备。

泛洪攻击是指攻击者在短时间内向目标系统发送大量的虚假请求，导致目标系统疲于应付无用信息而无法为合法用户提供正常服务，即发生拒绝服務

由于资源的限制，TCP/IP协议栈只能允许有限个TCP连接SYN Flood攻击者向服务器发送伪造源地址的SYN报文，服务器在回应SYN ACK报文后由于目的地址是伪造嘚，因此服务器不会收到相应的ACK报文从而在服务器上产生一个半连接。若攻击者发送大量这样的报文被攻击主机上会出现大量的半连接，耗尽其系统资源使正常的用户无法访问，直到半连接超时

攻击者在短时间内向特定目标发送大量的ICMP请求报文（例如ping报文），使其忙于回复这些请求致使目标系统负担过重而不能处理正常的业务。

攻击者在短时间内向特定目标发送大量的UDP报文致使目标系统负担过偅而不能处理正常的业务。

工业网络安全攻防演练平台安全攻防实验平台是集教学、科研、攻防演练、验证、评估、工业信息安全意识普及等功能于一体的综合性信息安全实验平台

平台通过仿真電力、石油化工、轨道交通、城市燃气、先进制造、水利等行业的工业控制网络安全攻防演练平台及系统、行业生产工艺流程的基础上，進行攻防演练、攻防技术验证、安全检测和风险评估、方案验证等实践研究平台由目标工控系统、攻击渗透系统、安全防护系统、效果展示系统等子系统组成，可以充分展示黑客或恶意软件的攻击影响及防护方案的防护效果并对新的攻击和防护技术进行有效性和准确性驗证。

工业网络安全攻防演练平台安全攻防实验平台台由网络安全攻防演练平台结构展板、行业场景沙盘模型、工控系统设备、网络安全攻防演练平台设备、安全设备以及相关软件构成。