1.一種基于二叉樹(shù)檢測(cè)UDP?Flood攻擊和防御的方法，其特征在于：按如下步驟進(jìn)行；

第一步構(gòu)建環(huán)境變量

創(chuàng)建二叉樹(shù)A和二叉樹(shù)B，樹(shù)A用來(lái)存儲(chǔ)等待分析的UDP數(shù)據(jù)包，樹(shù)B用來(lái)存儲(chǔ)已被檢測(cè)出來(lái)的正在進(jìn)行UDP?Flood攻擊的主機(jī)IP，分別初始化樹(shù)A和樹(shù)B，使每個(gè)節(jié)點(diǎn)都為空，轉(zhuǎn)第二步；

第二步判斷收到IP數(shù)據(jù)包是否為UDP數(shù)據(jù)包

從網(wǎng)卡隊(duì)列中讀取一個(gè)IP數(shù)據(jù)包，基于libnids抓包，檢查其IP協(xié)議字段代號(hào)，若為17，則該數(shù)據(jù)包是UDP數(shù)據(jù)包，轉(zhuǎn)第三步；否則轉(zhuǎn)第十五步；

第三步判斷UDP數(shù)據(jù)包是否為第一分片或者完整的UDP數(shù)據(jù)包

檢查并判斷該IP數(shù)據(jù)包內(nèi)的分段偏移量字段的值是否為0，若為0，則該數(shù)據(jù)包為UDP數(shù)據(jù)包的第一分片或完整的UDP數(shù)據(jù)包，轉(zhuǎn)第四步；否則轉(zhuǎn)第十五步；

第四步對(duì)IP數(shù)據(jù)包的源IP地址和其中的UDP數(shù)據(jù)包的數(shù)據(jù)部分進(jìn)行預(yù)存儲(chǔ)

首先，取IP數(shù)據(jù)包的源IP地址和其中的UDP數(shù)據(jù)包的數(shù)據(jù)部分，并設(shè)置兩個(gè)標(biāo)記字段分別記錄匹配次數(shù)和不匹配次數(shù)，初始化為0；分別存入一個(gè)字符數(shù)組S1中，該數(shù)組大小為1500字節(jié)；然后，檢查樹(shù)A的根節(jié)點(diǎn)是否為空，如果是，則將S1存入該根節(jié)點(diǎn)，轉(zhuǎn)第十五步；如果不是，將S1的源IP地址與樹(shù)A根節(jié)點(diǎn)中IP地址比較；若S1的源IP地址小，轉(zhuǎn)第五步；若大，轉(zhuǎn)第六步；若相等，轉(zhuǎn)第七步；

第五步訪問(wèn)樹(shù)A當(dāng)前節(jié)點(diǎn)的左孩子，若不存在，創(chuàng)建一個(gè)空節(jié)點(diǎn)作為左孩子，并將該左孩子設(shè)為當(dāng)前節(jié)點(diǎn)；檢查該節(jié)點(diǎn)是否為空，如果是，則將S1存入當(dāng)前節(jié)點(diǎn)，轉(zhuǎn)第十五步；如果不是，將其中IP地址與S1的源IP地址比較，若S1的源IP地址小，轉(zhuǎn)第五步；若大，轉(zhuǎn)第六步；若相等，轉(zhuǎn)第七步；

第六步訪問(wèn)樹(shù)A當(dāng)前節(jié)點(diǎn)的右孩子，若不存在，創(chuàng)建一個(gè)空節(jié)點(diǎn)作為右孩子，并將該右孩子設(shè)為當(dāng)前節(jié)點(diǎn)；檢查該節(jié)點(diǎn)是否為空，如果是，則將S1存入當(dāng)前節(jié)點(diǎn)，轉(zhuǎn)第十五步；如果不是，將其中IP地址與S1的源IP地址比較，?若S1的源IP地址小，轉(zhuǎn)第五步；若大，轉(zhuǎn)第六步；若相等，轉(zhuǎn)第七步；

第七步將S1內(nèi)UDP數(shù)據(jù)包的數(shù)據(jù)部分與樹(shù)A當(dāng)前節(jié)點(diǎn)中的UDP數(shù)據(jù)包的數(shù)據(jù)部分進(jìn)行匹配，若完全匹配，轉(zhuǎn)第八步；否則，轉(zhuǎn)第九步；

第八步樹(shù)A當(dāng)前節(jié)點(diǎn)中的匹配次數(shù)標(biāo)記字段加1并判斷其值是否大于等于規(guī)定的數(shù)值4-8，如果是，則可判定IP地址為當(dāng)前節(jié)點(diǎn)內(nèi)存儲(chǔ)的源IP地址的主機(jī)正在進(jìn)行UDP?Flood攻擊，轉(zhuǎn)第十步；否則，轉(zhuǎn)第十五步；

第九步樹(shù)A當(dāng)前節(jié)點(diǎn)中的不匹配次數(shù)標(biāo)記字段加1并判斷其值是否大于等于規(guī)定的數(shù)值4-8，如果是，則可判定IP地址為當(dāng)前節(jié)點(diǎn)內(nèi)存儲(chǔ)的源IP地址的主機(jī)沒(méi)有進(jìn)行UDP?Flood攻擊，轉(zhuǎn)第十四步；否則，轉(zhuǎn)第十五步；

第十步取樹(shù)A當(dāng)前節(jié)點(diǎn)存儲(chǔ)的源IP地址，檢查樹(shù)B的根節(jié)點(diǎn)存儲(chǔ)的內(nèi)容是否為空，如果是，則將此源IP地址存入B樹(shù)的根節(jié)點(diǎn)，轉(zhuǎn)第十三步；否則，將此源IP地址與B樹(shù)根節(jié)點(diǎn)存儲(chǔ)的IP地址進(jìn)行比較；若源IP地址小，轉(zhuǎn)第十一步；若大，轉(zhuǎn)第十二步；若相等，轉(zhuǎn)第十四步；

第十一步訪問(wèn)B樹(shù)當(dāng)前節(jié)點(diǎn)的左孩子，若不存在，創(chuàng)建一個(gè)空節(jié)點(diǎn)作為左孩子，并將該左孩子設(shè)為當(dāng)前節(jié)點(diǎn)；檢查當(dāng)前節(jié)點(diǎn)是否為空，如果是，則將此源IP地址存入當(dāng)前節(jié)點(diǎn)，轉(zhuǎn)第十三步；否則，將此源IP地址與當(dāng)前節(jié)點(diǎn)內(nèi)存儲(chǔ)的IP地址進(jìn)行比較；若源IP地址小，轉(zhuǎn)第十一步；若大，轉(zhuǎn)第十二步；若相等，轉(zhuǎn)第十四步；

第十二步訪問(wèn)B樹(shù)當(dāng)前節(jié)點(diǎn)的右孩子，若不存在，創(chuàng)建一個(gè)空節(jié)點(diǎn)作為右孩子，并將該右孩子設(shè)為當(dāng)前節(jié)點(diǎn)；檢查當(dāng)前節(jié)點(diǎn)是否為空，如果是，則將此源IP地址存入當(dāng)前節(jié)點(diǎn)，轉(zhuǎn)第十三步；否則，將此源IP地址與當(dāng)前節(jié)點(diǎn)內(nèi)存儲(chǔ)的IP地址進(jìn)行比較；若源IP地址小，轉(zhuǎn)第十一步；若大，轉(zhuǎn)第十二步；若相等，轉(zhuǎn)第十四步；

第十三步調(diào)用操作系統(tǒng)防火墻程序的過(guò)濾命令，過(guò)濾源IP地址為樹(shù)B當(dāng)前節(jié)點(diǎn)內(nèi)存儲(chǔ)的IP地址的數(shù)據(jù)包；轉(zhuǎn)第十四步；

第十四步清空樹(shù)A當(dāng)前節(jié)點(diǎn)；轉(zhuǎn)第十五步；

第十五步停止并跳出處理，轉(zhuǎn)第二步。?