随着网络技术的迅猛发展,网络逐渐深入到生活和工作的各个方面,随之而来的网络安全问题日益严峻。黑客攻击屡见不鲜,分布式拒绝服务攻击DDoS是黑客管用的一种方便有效的攻击手段,是互联网中最具破坏力的攻击方式之一。据统计,90%以上的DDoS攻击使用TCP协议,而其中的SYN Flood正事利用TCP协议的漏洞对目标服务器进行攻击,消耗服务器资源,是最为常见的一种DDoS攻击方式。因此讨论如何有效检测出SYN Flood的发生,降低SYN Flood攻击带来的破坏,对保护互联网安全具有现实意义。本文首先对现有的SYN Flood检测和防御方法进行了深入研究,并对SYN Flood攻击原理进行分析。通过分析得知,大部分的攻击工具所产生的攻击数据包在一些参数上保持一致,比如数据报总长度,TTL,源端口号等等,基于以上特点,本文提出了基于负载分析的TCP SYN Flood检测机制。此外,本文通过利用TCP协议超时重传机制,提出了基于协议一致性的防御机制。这种机制采用故意丢包的思想,将每个IP地址发来的第一个SYN数据包丢弃,接下来的SYN数据包只有遵守TCP超时重传机制才能通过。由于攻击者并不需要得到服务器的回应,不遵守超时重传机制,所以他们发送的SYN数据包将被过滤掉。反之,由于合法用户的协议一致性行为,他们的SYN数据包能够通过故意丢包的过滤算法到达服务器。本文将以上两种机制相结合,提出了基于负载分析和TCP协议一致性的SYN Flood检测与防御机制。本文通过Windump提取分析数据包参数,建立数据包过滤机制,丢弃攻击数据包。通过模拟实验可以看出,基于负载分析的检测机制能较好地区分网络拥塞和攻击发生,漏报率和误报率也较低,在一定程度上优于传统检测方法的检测率。同时,基于TCP协议一致性的防御机制也没有为服务器带来巨大的额外消耗。