随着计算机技术的不断发展,Internet在日常生活和工作中发挥着越来越重要的作用,网络安全面临更多的挑战。分布式拒绝服务攻击日益猖獗,SYN Flood DDoS攻击是一种容易发动的攻击方式,而且短时间内就可以使受害服务器端崩溃,深受黑客和不法分子青睐。这使得对SYN Flood DDoS攻击的防范,一直是网络安全领域重要且极具挑战的热门课题。在当前情况下是不可能彻底杜绝DDoS攻击的,我们能做的,就是尽早检测到攻击,对攻击采取适当的防范措施。因此,对SYN Flood DDoS攻击的检测和过滤研究显得尤为重要。本文首先对SYN Flood DDoS攻击的研究现状做了深入调研,通过分析SYNFlood DDoS攻击的原理、分类、特点和应对SYN Flood DDoS攻击的攻击前、攻击中、攻击后三条防线,提出基于主动队列管理(Active Queue Management, AQM)的SYN Flood DDoS攻击检测和过滤方法——SYN随机公平蓝色(SYN StochasticFair Blue, SYN-SFB)算法。基于攻击检测的实时性要求,设计了SYN数据包流量监测模块,用SYN数据包的平均流量增长值来判断是否发生攻击,并以此作为启用保护层的条件。保护层通过数据流标记概率过滤攻击数据包,将识别出的良性SYN数据包加入到安全SYN请求队列(Safe SYN Request Queue, SSRQ)中,并赋予不同的优先级,保证良性SYN数据包的顺利传输。通过在NS2(Network Simulator Version2)仿真环境下开展一系列实验,对比了SYN-SFB算法与几个著名主动队列管理算法在发生SYN Flood DDoS攻击时的性能。实验结果表明：SYN-SFB算法具有高度的健壮性；能够识别出SYN FloodDDoS攻击,并实现对攻击包的过滤；因SYN Flood DDoS攻击而损失的正常TCP数据流吞吐率都被控制在l%以内。