还有一种人人皆知的攻击就是创建网络循环。当属于同一VLAN的两个端口互连时就出现网络循环，两个交换机间有两个以上路径时也会出现。攻击者可以创建物理性的网络循环，最简单的办法就是在同一交换机和VLAN的两个端口上连上交叉电线。网络里出现循环时，广播将无法终止，数据洪水冲出VLAN的每个端口和网段里的每台交换机，导致网络崩溃。

STP Spanning Tree Protocol(IEEE 802.1D)设计用于防止网络循环。它可以冻结能够形成网络循环的链接。如果没有STP，在网络里增加冗余链接的可能将会大增，导致出现网络循环。

STP操作也是一种威胁，攻击者广播STP配置或者拓扑以改变BPDUs(Bridge Protocol Data Unit)，强制STP重计算以使攻击者成为根桥联。作为根桥联，攻击者可以嗅探另外一个VLAN的以太帧。如果根桥联崩溃，802.1D STP每30~45秒重选一个根桥联，将导致DoS攻击。

第3层安全威胁
OSI模型第3层为网络层，可以找到Internet Protocol (IP)，内有ICMP。第3层对多种Dos攻击和窍私都很脆弱。

包嗅探
前面讨论了攻击者如何在配有交换机的网络上嗅探别的人数据包。如果网络没有配置交换机(比如采用集线器)更容易嗅探到数据包。

可以用dnsniff、tcpdump、ethereal等工具捕获IP通讯。由于来自上层的数据要封装成IP包，分析IP包就能揭开来自那些层的所有信息。

POP3、SMTP、SNMP等协议使用文本传输密码，解码捕获的IP包就能够弄到这些敏感数据。dnsniff就是这方面的优秀工具，可以对包解码并将这些信息存储到文件里。

管理交换机以保护第2层可以大量减少网络里成功的数据包嗅探。使用IPSec或者别的加密方法创建加密VPN可以将数据被嗅探到的可能性降低为0.

IP诈骗
攻击者可以伪装成被信任的IP地址与某主机通讯，以获得未向其授权的访问。从互联网上能够找到各种IP诈骗工具。

攻击者还可以伪装成被攻击的IP发送数据以启动DoS，接收者就会向该IP响应大量数据使之被数据洪水淹没。用伪装的多个IP向多个主机发送数据可以制造DDoS攻击。

要防止IP诈骗，Linux内核有一个选项叫"rp_filter"，运行时可以随时修改：

这条命令将关闭所有接口上的rp_filter，要关闭eth0上的rp_filter，可以用：

把rp_filter设置成：
● 1将打开IP诈骗保护
● 0将关闭IP诈骗保护

来自某个主机的IP包由Linux机器的某个接口进入，如果rp_filter为0对这些IP包的响应必须位于同一网络接口上。

路由协议攻击
不当配置的动态路由协议如RIP、BGP和OSPF会允许攻击者在运行上述协议的机器的路由表里插入路由。攻击者可以插入错误的路由制造DoS攻击，或者将其计算机伪造成该网络的路由器，以实现IP嗅探。

我们后面会讨论如何在Linux下安装、配置并保护BGP。

ICMP攻击
ICMP是IP协议的重要部分，使主机和路由器能够交换控制消息。

使用伪造的IP地址，攻击者可以向两台主机发送"Time Exceeded"或"Destination Unreachable"的消息，以破坏二者间的通讯，制造DoS攻击。

通过发送ICMP "redirect"消息，攻击者可以强制路由器把包转发到攻击者主机的IP地址上。

在Linux下，可以强制内核不接受某个或者全部接口的转发消息：

ICMP洪水是对主机的最容易的攻击之一。ping是最常用的检测连通性的工具，它也可以用作DoS工具。