(1)P源地址欺骗攻击 对于攻击者伪装内部用户的P地址攻击,可以按照下面的原则配置 过滤规则:如果发现具有内部地址的数据包到达路由器的外部接口, 就将其丢弃 显然,这种规则对于外部主机冒充另外一台主机的攻击则无能为力。 (2)源路由攻击 攻击者有时为了躲过网络的安全设施,要为数据包指定一个路由, 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包。 (3)小分段攻击 个|P包太长时,就要对其进行分片传输。分组后,传输层的首 部只出现在|P层的第1片中。攻击者利用|P分片的这一特点,往往 会建立极小的分片,希望过滤路由器只检査第1片,而忽略后面的 分组 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包。（1）IP源地址欺骗攻击 对于攻击者伪装内部用户的IP地址攻击，可以按照下面的原则配置 过滤规则：如果发现具有内部地址的数据包到达路由器的外部接口， 就将其丢弃。 显然，这种规则对于外部主机冒充另外一台主机的攻击则无能为力。 （2）源路由攻击 攻击者有时为了躲过网络的安全设施，要为数据包指定一个路由， 这条路由可以使数据包以不期望路径到达目标。对付这种攻击的过 滤规则是丢弃所有含有源路由的数据包。 （3）小分段攻击 当一个IP包太长时，就要对其进行分片传输。分组后，传输层的首 部只出现在IP层的第1片中。攻击者利用IP分片的这一特点，往往 会建立极小的分片，希望过滤路由器只检查第1片，而忽略后面的 分组。 对付小分段攻击的策略是丢弃FO为1的TCP、UDP数据包