客户环境中可能存在多种形式的攻击，例如基于流量的DDoS攻击、基于报文或协议的攻击(teardrop、smurf、redirect)等等。攻击目标可能是内网某个用户或者设备本身。因此客户可以配置策略来帮助内网用户及设备防御攻击。

DDoS防护策略可抵御的攻击类型包括但不限于以下：

l  协议类攻击（异常报文攻击）

协议类攻击主要利用目标设备上协议栈实现的漏洞，通过发送特定的流量或特定报文（畸形报文），使目标设备发生异常以达到拒绝服务的目的。常见的协议类攻击包括Land、Smurf、Fraggle、TearDrop、Winnuke、ICMP重定向攻击、ICMP不可达攻击、超大ICMP报文攻击等。

○         Land

攻击原理/特征：用于Land攻击的数据包中的源地址和目标地址是相同的，用户设备在接收到这类数据包时，可能出现不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

○         Smurf

攻击原理/特征：该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。攻击者只需要较小的代价，就可以给被攻击主机产生大量的攻击流量。

○         Fraggle

攻击原理/特征：Fraggle攻击对Smurf攻击作了简单的修改，使用的是UDP应答消息而非ICMP报文（攻击端口7（echo）或19（chargen））。

○         TearDrop

攻击原理/特征：该攻击主要是利用系统在重组IP数据包过程中的漏洞而进行的。Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片重叠的IP包（IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息，攻击者刻意使这些分片产生重叠），某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

○         Winnuke

攻击原理/特征：WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是53、113、137、138和139，而且URG位设为“1”，即紧急模式。

○         ICMP重定向攻击

攻击原理/特征：攻击者伪装成网关向被攻击主机发送ICMP重定向报文，告诉它“你去下一个目标的下一跳是我”，使被攻击主机更改路由表，主机流量被重定向到攻击方，攻击者能够对流量进行嗅探劫持。

○         ICMP不可达

攻击原理/特征：攻击者通过向被攻击主机发送伪造的ICMP不可达报文，使被攻击主机无法访问目的主机/端口/网段，切断目的地与主机的连接。

○         超大ICMP报文

攻击原理/特征：通过发送长度超大的ICMP报文对目标系统进行攻击。对于有些系统，在接收到超大ICMP报文后，由于处理不当，会造成系统崩溃或重启。

l  泛洪类攻击（基于流量的攻击）

泛洪类攻击主要通过消耗被攻击主机的连接、带宽、CPU等有限的资源，来达到使目的主机拒绝服务的效果。常见的资源消耗类攻击包括各类流量型Flood攻击，包括syn-flood、udp-flood、icmp-flood。

l  扫描类攻击

扫描类攻击通常是攻击者尝试对目标主机/网络进行攻击的第一个步骤，通过端口/IP扫描的方式，来发现目标主机/网络中的可利用端口/服务/OS类型等，为进一步的渗透或攻击提供基础信息。从流量上分析，会发现某个特定主机在短时间内大量地去连接某个IP的连续端口（试图发现开放的服务）或某个网段连续的IP（试图发现存活的主机）。