Internet发展日新月异,以往的纸质办公已经被高效快捷的电子办公形式所替代。现今在网上的传输的数据已经不仅仅是娱乐和普通资讯内容,一些敏感和重要的信息也开始借助网络实现共享。然而我们在享受互联网提供的简便实时的服务的同时,不得不面对各种网络攻击和病毒越来越猖狂所带来的威胁。蠕虫,木马不断更新,而拒绝服务(Denial of Service,DoS)攻击以部署简单,危害巨大成为了目前网络上最流行的攻击方式之一。根据赛门铁克的监测,本地区平均每天约有19,095台活动计算机感染了僵尸网络。中国感染僵尸网络的计算机数量最多,占亚太及日本区的71%。北京感染僵尸网络的计算机数量占亚太及日本区的16%。家庭用户仍是本地区被攻击最多的目标,占所有目标性攻击的98%。中国的恶意活动占本地区的39%,高于其他任何国家,而台湾地区网络用户的平均恶意活动在本地区数量最高。应对拒绝服务攻击是一个系统工程,想仅仅依靠某种系统或产品是不现实的,且希望完全杜绝DOS目前也是不可能的,但通过适当的措施追踪拒绝服务攻击的攻击者,使其得到法律和刑事制裁弥补受害者的部分损失,并可以威慑攻击者。随着追踪技术的发展,拒绝服务攻击的成本必将同步上升,绝大多数攻击者无法继续下去而放弃,即相当于成功抵御了DOS攻击。以往的攻击源追踪技术集中在标记和记录以及伴随包发送三个方面,但标记算法不易确定标记概率,标记信息易被篡改,且回溯需要的数据包较多。记录算法对路由器的消耗太大,需要布置大量的存储空间,且对检索提出了新的要求,故而在实际中很少应用。而发送伴随包的方式使路由器和网络的负载更大,在拒绝服务攻击中使得受害者的负担更重,也是非常不现实的。本文提出了一种将标记和记录相结合的追踪方法,数据包在转发的过程中记录所经过的路由器的信息,并采用了一种空间效率很高的数据结构——Generalized Bloom Filter数据结构存储路由器的摘要信息。回溯过程中分为自治域内回溯和自治域间回溯两部分。本算法可以实现单包攻击源追踪定位,实现在AS(Autonomous Systems)和Router两级粒度上的攻击路径重构。且本方案路由器额外代价小,存储效率高,可以有效检测节点摘要信息的篡改,且由于每个数据包中携带了全部路径信息,可以实现单包追踪。