试题三（共25分）

阅读以下说明，回答问题1至问题4,将解答填入答题纸对应的解答栏内。

如图3-1，为某公司的网络拓扑图。

案例一：

某日，网站管理员李工报告网站访问慢，他查看了互联网接入区防火墙的日志。日志如图。

案例二：

网络管理员小王在巡查时,在WAF上发现网站访问日志中有多条非正常记录。

其中,日志访问记录为：

www.xx.com/examples/?id=1 and 1=2 union select 1,database()

www.xx.com/?id=1 and 1=2 union select 1,column_name from information_schema. columns where table_schema=database() and table_name='admin' limit 0,1

www.xx.com/examples/?id=1 and 1=2 union select 1,username from admin  limit 0,1

小王立即采取措施,加强Web安全防范。

案例三：

用户小张收到一封“安全提醒”的邮件，小张随即根据安全提醒的内容，点击查看了安全提醒链接的网站，并填写了相关个人和单位信息。之后公司内部多人也同时反馈出现此类情况，并采取了类似操作。

1、（5）DoS或DDoS （6）ICMP Flooding （7）UDP Flooding （8）Teardrop（只要列举出来是DoS攻击即可）

2、ACK Flooding攻击是在TCP连接建立之后，所有的数据传输TCP报文都是带有ACK标志位的，主机在接收到一个带有ACK标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应RST包告诉对方此端口不存在。当发包速率很大的时候，主机操作系统将耗费大量的精力接收报文、判断状态，同时要主动回应RST报文，正常的数据包就可能无法得到及时的处理。

问题一：根据案例一的日志显示，可以判断该公司服务器遭到了拒绝服务（DoS）或分布式拒绝服务（DDoS）攻击。除了ACK Flooding之外，还有如ICMP Flooding、UDP Flooding和Teardrop等攻击方式。这些攻击都是通过向服务器发送大量无效或高流量的请求，以消耗服务器资源，导致服务不可用。

问题二：ACK Flooding的攻击原理描述正确。在TCP连接建立后，攻击者发送大量带有ACK标志位的数据包，主机在接收到这些数据包时需要检查连接四元组和状态合法性。如果数据包不合法，主机操作系统会回应RST包。当发包速率非常高时，这会消耗主机的大量资源，导致正常的数据包处理受阻。