网络的迅猛发展，网络的开放性以及日益强大的计算机技术的发展，改变了很多行业的工作模式，也改变了人们的生活，娱乐，学习模式。与此同时，各种网络攻击、病毒以及信息窃听等网络安全问题日益凸显。DDoS分布式拒绝服务攻击，是一种利用通信协议的漏洞，破坏性极强的资源耗尽型攻击，是一种目前黑客常用的攻击手段，包括了各种攻击方式，其中主要以SYN_Flood攻击为最常见的攻击手段。针对DDoS的防御手段主要以代理网关和过滤防火墙为主。Linux开源操作系统，由于其各种良好的特性，拥有大量的用户，其2.4内核防火墙框架Netfilter/Iptables取代了原有的Ipchain防火墙框架，具有更好防火墙结构，它提供了一组挂接点，分别对应于协议栈中数据流的几个关键流向。由于其开放性，可用于二次开发，对防火墙进行功能扩展，将自定义的功能模块加载到内核中，对数据流具有高效的可控性。Iptables包括了一组过滤规则表，并且提供了用户态下的配置工具，可以非常容易地将自定义的规则加到内核中。 本文首先在分析DDoS攻击特点，以及现有的防御手段，分析了主要采用的关键技术。本文提出了一种基于SYNCookie技术的智能防御算法，算法能对链接申请进行合法性探测，根据探测结果动态的配置过滤规则，具有主动性和智能性。本文还分析了Linux内核防火墙框架Netfilter/Iptables，设计了并实现了基于Netfilter的智能防御体系，介绍了主要模块的设计及实现。最后通过实验，验证了方案的有效性。