主動攻擊

主動攻擊包括拒絕服務攻擊（DoS）、分散式拒絕服務（DDos）、信息篡改、資源使用、欺騙、偽裝、重放等攻擊方法。

主動攻擊包含對數據流的某些修改，或者生成一個假的數據流。它可分為五類：

偽裝

偽裝是一個實體假裝成另外一個實體。偽裝攻擊往往連同另一類主動攻擊一起進行。假如，身份鑑別的序列被捕獲，並在有效地身份鑑別發生時做出回答，有可能使具有很少特權的實體得到額外的特權，這樣不具有這些特權的人獲得了這些特權。

回答（重放）

回答攻擊包含數據單元的被動捕獲，隨之再重傳這些數據，從而產生一個非授權的效果。

修改報文

修改報文攻擊意味著合法報文的某些部分已被修改，或者報文的延遲和重新排序，從而產生非授權的效果。

拒絕服務（DoS）

DoS攻擊是指利用合理的服務請求來占用過多的服務資源，從而使合法的用戶得不到服務回響。這種攻擊行為使網站伺服器充斥大量要求回復的信息，消耗網路頻寬或系統資源，導致網路或系統不勝負荷以至於癱瘓而停正提供正常的網路服務。

拒絕服務攻擊是阻止或禁止通信設施的正常使用和管理。這種攻擊可能針對專門的目標（如安全審計服務），抑制所有報文直接送到目的站；也可能破壞整個網路，使網路不可用或網路超負荷，從而降低網路性能。

主動攻擊和被動攻擊具有相反的特性。被動攻擊難以檢測出來，然而有阻止其成功的方法。而主動攻擊難以絕對地阻止，因為要做到這些，就要對所有通信設施、通路在任何時間進行完全的保護。因此，對主動攻擊採取的方法，並從破壞中恢復。因此制止的效應也可能對防止破壞做出貢獻。

分散式拒絕服務（DDoS）

分散式拒絕服務（洪水攻擊）是在傳統的Dos攻擊基礎上產生的一類攻擊方式，它使許多分布的主機同時攻擊一個目標，從而使目標癱瘓等。一個比較完善的DDos攻擊體系分為四大部分：黑客，控制傀儡機，攻擊傀儡機，受害者。最重要的是第二，三部分，分別用於控制和實際發起攻擊。對於第四部分的受害者來說，DDos的實際攻擊包是從第三部分的攻擊傀儡機上發起的，第二部分只發布控制命令而不參加實際的攻擊。主動攻擊難以預防，但卻容易檢測，所以重點是在於檢測並從破壞中回復。

網路攻擊手段形式多樣，將目前的網路主動攻擊分為六大類進行研究：

探測型攻擊：通過各種掃描技術快速準確地獲取敵方網路的重要信息，代表性的攻擊手段有連線埠掃描、服務漏洞掃描和作業系統漏洞掃描。

肢解型攻擊：集中攻擊敵方信息系統關鍵結點，如 FTP、WEB、DNS和E-Mail 伺服器等，破壞敵方的信息集成，代表性的攻擊手段有緩衝區溢出攻擊和後門攻擊。

病毒型攻擊：通過在敵方網路安置可控的病毒或惡意代碼，在必要的時候引爆病毒或惡意代碼，使敵方控制中心癱瘓，代表性的攻擊手段有惡意代碼的開發和注入技術。

內置型攻擊：深入敵方的網路內部，安置木馬或者通過安裝網路嗅探程式，源源不斷地向我方提供敵方的信息情報，代表性的攻擊手段有遠程控制攻擊和TCP劫持。

欺騙型攻擊：通過傳輸虛假的信息欺騙敵方，使敵方指揮系統對收到的信息真假難辨，無法決策，或者做出錯誤決策，代表性的攻擊手段有IP欺騙攻擊。

阻塞型攻擊：阻塞敵方信息流，使敵方網路無法進行正常傳輸，代表性的攻擊手段有DoS攻擊和DDoS攻擊。

主動攻擊回響就是在入侵檢測系統檢測到攻擊後，系統根據攻擊類型自動選擇預定義的回響措施來阻斷當前的攻擊，防止後續攻擊的發生，以及進行攻擊取證和對攻擊所造成的破壞進行恢復。當前實際套用的主動回響技術非常有限，主要有以下三種：

ICMP不可達回響

ICMII，不可達回響就是在入侵檢測系統檢測到特定的攻擊事件後，通過向被攻擊主機或攻擊源傳送ICMP連線埠或目的不可達報文來阻斷攻擊。

TCP-RST回響

TCP-RST回響也稱阻斷會話回響。在入侵檢測系統檢測到特定的攻擊事件後，通過阻斷攻擊者和受害者之間的TCP，會話來阻斷攻擊。這種阻斷會話機制是目前入侵檢測系統中使用最多的主動回響機制。

防火牆聯動回響

防火牆聯動回響就是當入侵檢測系統檢測到攻擊事件後向防火牆傳送規則用於阻斷當前以及後續攻擊。然而目前的防火牆聯動回響還處於簡單的基於地址的包過濾階段，這種聯動方式對採取了IP位址欺騙的攻擊毫無作用。