1.一種SYN洪水攻擊的防御方法，其特征在于，確定目的地址的設備 處于被SYN洪水攻擊狀態后，所述防御方法包括：

對于接收到的SYN包，

判斷該SYN包的源IP地址在第一預設時間段內是第一次發包，還是重 發包，若是第一次發包，則丟棄該SYN包；

若是重發包，則繼續后續正常處理；

其中，所述判斷該SYN包的源IP地址是否在第一預設時間段內第一次 發包的步驟包括：

將所述第一預設時間段分為n個長度相等的子時間段，分別為第一子時 間段、第二子時間段、......和第n子時間段，其中n大于等于2；

建立n個hash表，分別對應所述n個子時間段，每個hash表包括m個 表項，每個表項包括一位，用于標識此表項對應的源IP地址是否在對應的 子時間段內發過包；

對所述SYN包的源IP地址進行k次hash計算，每次hash計算采用不 同的hash參數，得到k個hash值；

在所述第二子時間段至第n個子時間段對應的hash表中，分別查找與所 述k個hash值對應位置的標識，若與所述k個hash值對應位置的標識均表 示已發過包，則確定該SYN包的源IP地址在所述第一預設時間段內非第一 次發包，否則，確定該SYN包的源IP地址在所述第一預設時間段內第一次 發包。

2.根據權利要求1所述的方法，其特征在于，在確定是重發包后，繼 續后續正常處理之前，還包括：

采用SYN-Cookie值方式驗證接收到的所述SYN包的源IP地址是否合 法，若合法，則再繼續后續正常處理，否則丟棄所述SYN包。

3.根據權利要求2所述的方法，其特征在于，在采用SYN-Cookie值方 式驗證接收到的所述SYN包的源IP地址是否合法時，進一步包括：判斷對 某個客戶端的針對SYN-Cookie的SYN+ACK包返回速率是否超越正常閾 值，若是，則停止該源IP地址的SYN+ACK包返回，否則再正常處理。

4.根據權利要求1、2或3所述的方法，其特征在于，在判斷接收到的 SYN包源IP地址在第一預設時間段內是否第一次發包之前，還包括：

對于接收到的SYN包，判斷該SYN包的源IP地址是否屬于已維護的客 戶端白名單中，若是，則繼續后續正常處理；否則，再判斷接收到的SYN 包源IP地址在第一預設時間段內是否第一次發包。

5.根據權利要求4所述的方法，其特征在于，在采用Cookie值方式驗 證接收到的所述SYN包的源IP地址合法后，進一步包括：將所述源IP地址 加入客戶端白名單中。

6.根據權利要求1所述的方法，其特征在于，確定該SYN包的源IP地 址在所述第一預設時間段內第一次發包后，丟棄該SYN包之前，還包括：

在第一子時間段所對應的hash表中，將k個hash值對應位置的標識設 置為已發過包。

7.根據權利要求6所述的方法，其特征在于，所述方法還包括：每隔 第二時間段長度，清空第n個子時間段所對應的hash表的數據，將第一個子 時間段所對應的hash表、第二個子時間段所對應的hash表......第n-1個子時 間段所對應的hash表，依次轉為第二個子時間段所對應的hash表、第三個 子時間段所對應的hash表......第n個子時間段所對應的hash表。