针对网络单包攻击的预防措施有哪些

针对网络单包攻击的预防措施有以下这些：

• 检测进入防火墙的ICMP，TCP和UDP报文，由该报文的源IP地址获取统计表项中的索引，入目的IP地址与前一报文的IP地址不同，则将表项中的报文个数增。如果在一定时间内报文的个数达到设置的阈值，记录日志，并根据配置决定是否将源IP地址加入黑名单。

• 检查ICMP应答请求包的目的地址是否为子网广播地址或子网的网络地址，若是，则直接拒绝，并将攻击记录到日志。

• 对每一个ip报文进行检测，若其源地址与目的地址相同，或者源地址位环回地址（127.0.0.1），则直接拒绝，并将攻击记录到日志中。

• 检查进入防火墙的UDP报文，如果目的端口号7或者19，则直接拒绝，并将攻击记录到日志，负责允许通过。

• 检查IP报文中与分片有关的字段是否有矛盾，若发现有如下矛盾，则直接丢弃。将攻击记录。

• 检测每个接口流入的ip报文的源地址和目的地址，并对报文的源地址反查路由表，入接口与以该IP地址为目的地址的最佳出接口不相同的ip报文视为IP spoofing攻击，将被拒绝，并进行记录。