随着互联网的不断发展,以IPv4为基础的互联网越来越不能满足人们的需求,其升级和过渡到以IPv6为核心协议的下一代互联网成为历史的必然。虽然IPv6协议在制定时对IPv4网络中的安全问题进行了考虑,并使用IPSec协议作为其内置安全架构,但分布式拒绝服务(DDoS)攻击等网络安全威胁仍存在于IPv6网络中。DDoS攻击源回溯对从源头阻断攻击流量、减小受害者损失具有重要意义。传统的DDoS攻击源回溯策略是针对IPv4网络提出的,由于IPv6协议变化较大,这些回溯策略无法直接应用于IPv6网络。本文对IPv6网络安全以及IPv6网络中的DDoS攻击进行了分析。在对比各种IP回溯策略优缺点的基础上,选择确定性包标记(DPM)算法,并结合IPv6协议的特点,针对DPM算法可导致路由器过载的缺陷,提出了IPv6中基于流的DPM算法。通过编程扩展NS2,在NS2模拟环境中实现IPv6中基于流的DPM算法,并结合模拟结果对算法性能进行了分析。通过模拟结果和算法性能分析可知,IPv6中基于流的DPM算法可以追踪大量的同时发起攻击的DDoS攻击源。由于该算法可以进行事后追踪,对起初未被注意到的攻击源也可进行追踪。此外,该算法避免了其他DPM算法的假阳率问题,并且只要较少的数据包就可完成攻击入口地址的重构收敛。IPv6中基于流的DPM算法易于在现有路由器系统架构中实施,并且不会造成网络设施的过载。虽然基于流的DPM算法的初衷是回溯IPv6网络中的DDoS攻击源,但其也可被用来过滤IPv6网络中的异常流量。