随着计算机网络的迅猛发展,网络安全问题显得越来越重要。作为拒绝服务攻击(DoS)升级的分布式拒绝服务攻击(DDoS)由于破坏性大,易于实施,隐蔽性强,成为最难解决的网络安全问题之一,严重威胁着互联网的安全。因此,研究DDoS攻击及其对策是非常重要的。本文对DDoS攻击及其对策作了较为深入的研究,力求达到从检测到追踪的全方位防御效果,尤其在DDoS攻击的追踪方面取得了一定的成果,提出了一种新的包标记方案。文中我们首先研究了DDoS攻击的原理、主要工具及其检测追踪对策,并在对以包标记的方式追踪DDoS攻击源的随机包标记和确定包标记进行了深入的研究。通过分析各自的优缺点,随机包标记存在误报率高,追踪DDoS攻击源时重构收敛速度慢以及不公平概率以及最弱链的问题,而确定包标记可以巧妙地避开上面的问题,有独到的优势。沿着确定包标记的研究思路,针对确定包标记边界路由器负载高,易成为网络瓶颈的问题,本文从实用性的角度,提出了基于流量序列的自适应包标记方案(AdaptivePacket Marking Scheme Based on Flow Sequence),简称FAPM。该方案结合概率包标记和确定包标记的优点,将概率引入标记策略中,边界路由器可以随着负载自适应地调整标记概率。在概率降低的时候,为了保持对攻击流的敏感,采用累计和(CUSUM)算法进行过滤,侧重对攻击包的标记,以配合增快重构收敛速度。仿真试验表明,FAPM一方面可以缓解路由器的负载,另一面可以有效地减少重构包数量,以较低的误报率更快追踪到攻击子网地址。同时,FAPM支持逐步部署,随着同一层次ISP数量增多形成周界线,可以追踪整个Internet。最后,针对现有的包标记算法都是在IPv4的环境下实现,本文还对FAPM在IPv6中标记域的选取和协议兼容性分析及网络部署问题的可行性做了研究和探索。