试题三（共25分）

阅读以下说明，回答问题1至问题3,将解答填入答题纸对应的解答栏内。

如图3-1，为某公司的网络拓扑图。

案例一：

某日，网站管理员李工报告网站访问慢，他查看了互联网接入区防火墙的日志。日志如图。

案例二：

网络管理员小王在巡查时,在WAF上发现网站访问日志中有多条非正常记录。

其中,日志访问记录为：

www.xx.com/examples/?id=1 and 1=2 union select 1,database()

www.xx.com/?id=1 and 1=2 union select 1,column_name from information_schema. columns where table_schema=database() and table_name='admin' limit 0,1

www.xx.com/examples/?id=1 and 1=2 union select 1,username from admin  limit 0,1

小王立即采取措施,加强Web安全防范。

案例三：

用户小张收到一封“安全提醒”的邮件，小张随即根据安全提醒的内容，点击查看了安全提醒链接的网站，并填写了相关个人和单位信息。之后公司内部多人也同时反馈出现此类情况，并采取了类似操作。

1、（5）DoS或DDoS （6）ICMP Flooding （7）UDP Flooding （8）Teardrop（只要例举出来是DoS攻击即可）

2、ACK Flooding攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。当发包速率很大的时候，主机操作系统将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。

对于问题一，根据案例一的日志显示，可以判断该公司服务器遭到了DoS或DDoS攻击。除了ACK Flooding之外，还有如ICMP Flooding、UDP Flooding和Teardrop等攻击方式。这些都是拒绝服务攻击（DoS）的变种，可能导致服务器无法处理正常请求。

对于问题二，ACK Flooding的攻击原理描述准确。在TCP连接建立后，攻击者发送大量带有ACK标志位的数据包，主机在接收到这些数据包时需要进行一系列操作，如检查连接四元组、判断数据包状态等。如果数据包不合法，主机将回应RST包。当攻击者以非常高的速率发送这些数据包时，主机将耗费大量资源处理这些数据包，导致正常的数据传输受到影响。