SYN flood 攻击解决思路

防火墙处理：

https://info.support.huawei.com/info-finder/encyclopedia/zh/SYN+Flood.html
https://forum.huawei.com/enterprise/zh/thread-214141.html
1、fw代替服务器建立会话，正常客户端会进行第三次握手
2、fw故意发送错误syn+ack包，正常客户端会重传syn
3、fw首包丢弃，正常客户端会重新发送syn

SYN Cookie：
https://blog.csdn.net/zhangskd/article/details/16986931
SYN Cookie是对TCP服务器端的三次握手做一些修改，专门用来防范SYN Flood攻击的一种手段。它的原理是，在TCP服务器接收到TCP SYN包并返回TCP SYN + ACK包时，不分配一个专门的数据区，而是根据这个SYN包计算出一个cookie值。这个cookie作为将要返回的SYN ACK包的初始序列号。当客户端返回一个ACK包时，根据包头信息计算cookie，与返回的确认序列号(初始序列号 + 1)进行对比，如果相同，则是一个正常连接，然后，分配资源，建立连接。但是这个方案也有漏洞，攻击者可以只发ack包，大量的ack包消耗服务器的cpu资源。

本人设想：
旁路设备，镜像流量，判断syn超时后，发送特殊包给服务器，释放服务器上的半连接