识别和抵御SYN Flood攻击

1. 措施
   • SYN Cookie：在收到SYN包时，不立刻分配资源建立连接，而是根据源IP、源端口、目的IP、目的端口以及一个秘密值计算出一个cookie值，作为初始序列号（ISN）返回给客户端。当客户端返回ACK包时，服务端验证这个ISN是否正确。如果正确，则认为是合法连接，分配资源建立连接。
   • 增加半连接队列长度：适当增加TCP半连接队列的长度，以容纳更多的SYN请求，避免因队列溢出而丢弃合法的SYN包。但这只是一个临时缓解措施，不能从根本上解决问题。
   • 设置SYN超时时间：缩短SYN包等待ACK响应的超时时间，尽快清理半连接队列中的无效连接，释放资源。
2. TCP Socket编程层面实现
   • SYN Cookie：在服务器端收到SYN包时，通过特定算法计算出cookie值，然后将其作为ISN发送给客户端。在接收到ACK包后，验证该ISN。这部分涉及到一些自定义的计算和验证逻辑，通常不在标准的Socket API直接实现，可能需要在应用层通过代码实现该算法。
   • 增加半连接队列长度：在使用listen函数时，可以通过参数设置半连接队列长度，例如在Linux下，listen(int sockfd, int backlog)中的backlog参数即表示半连接队列长度。可根据实际情况适当增大该值，但不能无限增大，因为系统资源有限。
   • 设置SYN超时时间：在Linux系统下，可以通过修改内核参数net.ipv4.tcp_synack_retries来设置SYN - ACK包的重传次数，进而影响SYN超时时间。在Socket编程层面，虽然不能直接设置这个参数，但可以通过系统调用修改内核参数。例如，使用sysctl命令或者修改/etc/sysctl.conf文件并重新加载配置。

识别和抵御UDP Flood攻击

1. 措施
   • 流量限制：限制单个IP地址或IP段的UDP流量速率，当超过一定阈值时，丢弃后续的UDP包。
   • 合法性检测：检查UDP包的源IP地址、目的IP地址、端口号等信息，判断是否为合法的请求。例如，检查目的端口是否为服务器实际提供服务的端口，源IP是否在可信列表内等。
   • 使用UDP连接状态检测：类似于TCP的连接跟踪，记录合法的UDP连接状态，对于不属于已知连接的UDP包进行过滤。
2. TCP Socket编程层面实现
   • 流量限制：在应用层代码中，可以使用计数器和定时器来统计单位时间内来自某个IP的UDP包数量。当超过设定阈值时，丢弃后续来自该IP的UDP包。例如，使用一个哈希表记录每个IP的包计数，结合定时器定期重置计数。
   • 合法性检测：在接收UDP包后，在应用层代码中检查包的源IP、目的IP和端口号等信息。如果目的端口不是服务器提供服务的端口，或者源IP不在可信列表内，则丢弃该包。
   • UDP连接状态检测：在应用层维护一个数据结构（如哈希表）来记录合法的UDP连接状态。每次接收UDP包时，检查该包是否属于已知的连接。如果不属于，则进行进一步的合法性验证或者直接丢弃。