随着互联网的不断发展，以IPv4为基础的互联网越来越不能满足人们的需求，其升级和过渡到以IPv6为核心协议的下一代互联网成为历史的必然。虽然IPv6协议在制定时对IPv4网络中的安全问题进行了考虑，并使用IPSec协议作为其内置安全架构，但分布式拒绝服务(DDoS)攻击等网络安全威胁仍存在于IPv6网络中。DDoS攻击源回溯对从源头阻断攻击流量、减小受害者损失具有重要意义。传统的DDoS攻击源回溯策略是针对IPv4网络提出的，由于IPv6协议变化较大，这些回溯策略无法直接应用于IPv6网络。　　 本文对IPv6网络安全以及IPv6网络中的DDoS攻击进行了分析。在对比各种IP回溯策略优缺点的基础上，选择确定性包标记(DPM)算法，并结合IPv6协议的特点，针对DPM算法可导致路由器过载的缺陷，提出了IPv6中基于流的DPM算法。通过编程扩展NS2，在NS2模拟环境中实现IPv6中基于流的DPM算法，并结合模拟结果对算法性能进行了分析。　　 通过模拟结果和算法性能分析可知，IPv6中基于流的DPM算法可以追踪大量的同时发起攻击的DDoS攻击源。由于该算法可以进行事后追踪，对起初未被注意到的攻击源也可进行追踪。此外，该算法避免了其他DPM算法的假阳率问题，并且只要较少的数据包就可完成攻击入口地址的重构收敛。IPv6中基于流的DPM算法易于在现有路由器系统架构中实施，并且不会造成网络设施的过载。虽然基于流的DPM算法的初衷是回溯IPv6网络中的DDoS攻击源，但其也可被用来过滤IPv6网络中的异常流量。