Internet的开放性使其得到了广泛的应用，但同时也带来了很多问题，每一个终端都有可能成为被攻击者，由此引起的DDOS攻击广泛的存在于Internet中，其本质是向受害主机发送大量的数据包，导致中间网络发生拥塞，造成数据包的大量丢失，或者消耗受害主机的有限资源而使其无法向合法用户提供服务。而对于DDOS攻击的防御，则在网络安全中一直倍受关注。本文通过对目前DDOS攻击主要防御方法的分析与研究，选择了基于网络接受标记的防御方法为研究内容，其主要思想为：受害主机可以通过中间网络来决定是否接受数据包，而这正是从本质上面缓解了DDOS攻击的威胁。而在这类研究方法当中，网络接受标记的分配机制至关重要，论文正是从接受标记的分配机制出发，主要做了如下两方面的工作。1．对于私有服务器来讲，很容易区分其合法用户与攻击者。论文提出了通过out-of-band方法获得接受标记的ObD(Off by Default)防御机制。用户可以向服务器信任的第三方发送请求包，第三方通过身份认证来决定是否发放接受标记，用户再将接受标记加入到数据包中与服务器进行通信，而网络中间路由器则通过验证这些标记的有效性，来传送数据包。通过网络实验可以得出，该方法在抵御DDOS攻击时起到了很好的效果。2．对于公共服务器来讲，很难区分合法用户与攻击者。而针对拒绝接受标记服务(denial-of-capabilities)的攻击则会很大程度上影响接受标记的分配。本文通过对数据流的划分，即：根据IP地址将数据流划分为几个地区，提出了随机地址聚类的请求包队列服务方式，从实验结果可以看出，某一地区发生严重的DDOS攻击时，对其它地区并没有影响，而目前的互联网结构在发生DDOS攻击时，会影响到服务器全部的用户。另外，对于处在发生严重DDOS攻击地区中的合法用户，采用增加触发器的方法来增大用户数据流的吞吐量。