分布式拒绝服务(DDoS)攻击是互联网目前最大的威胁之一,随着网络技术的发展,防御也变得愈加困难。其中, SYN Flood攻击是DDos中比较难以防御的一种攻击,其利用TCP协议族“三次握手”过程中的缺陷,在第一次请求过程中,大量发送伪造源IP地址的SYN包,造成服务器资源消耗殆尽,成为DDos防御中的难点。为了有效防范SYN Flood(SYN洪流)这种典型的DDoS攻击,本文在阅读相关文献和实验验证的基础上,从研究SYN Flood攻击的原理、防御技术现状入手,针对SYN Cookie机制在解决SYN Flood问题时存在的一些缺陷,提出了一些切实可行的方案,实践应用证明,这些方案可以准确、高效的防御SYN Flood攻击。相较于传统的设计方法,本文将防护系统分为检测系统和过滤系统。本文在攻击检测研究上,采用基于数学统计的检测预警机制和基于Sphinx引擎的黑白名单库检索机制,有效的提高了检测系统的精确性和效率；在SYN Cookie研究改进中,以SYN Cookie机制为过滤研究基础,针对cookie算法安全性较弱的问题,采用改进的MD5算法结合公钥加密算法的方案,来解决安全性问题,实验结果表明,其安全性得到大大提高。除此之外,针对SYN Cookie机制伴随产生的ACK Flood问题,采用基于Sphinx的待连接记录库检索方案,记录发起“第一次握手”的客户连接信息,利用Sphinx进行快速检索,有效解决了ACK Flood攻击的问题。