分布式拒绝服务攻击是当今网络安全领域难以防御的攻击之一,它具有实现攻击容易、追踪困难、产生后果严重等特点,已经成为影响网络安全运行的一大难题。对分布式拒绝服务攻击的研究一直倍受人们的关注。在众多解决方法地研究中,数据包标记方法地研究是进行攻击源追踪研究的一个重要方面。本文介绍了分布式拒绝服务攻击的攻防原理,对主要的数据包标记方法进行了研究,分析了它们各自的长处和不足。其中,自适应概率包标记方法能够很好地提高路由器标记概率,减少受害端重构攻击路径的时间;而代数编码包标记方法能够很好地节省数据包头标记空间,方便的将路由地址信息进行分片标记。但是,这类数据包标记方法,较多地耗费数据包的地址空间较多,在受害端收集重组时需要数据包的数量也相对较多,检测耗费的时间和资源相对较大。论文提出的二次适应包标记方法,是在自适应概率包标记方法和代数编码包标记方法两者中,综合各自优点的基础上提出来的。该方法是通过对路由器IPv4地址进行分块,对分块地址利用HMAC算法做加密处理,写入数据包的标识域,并打上标记。最终在受害端检验打上标记的数据包,收集路由器IP分块信息,对攻击源发出的数据包进行分析重组,从而达到重构攻击树、追踪攻击源头的目的。二次适应标记方法在很大程度上节省了标识空间,增强了传输过程中路由器标记数据包的安全性,能够在较短的时间内追踪到攻击者。通过基于OPNET Modeler10.5软件的仿真实验证明,本文设计的二次适应包标记方法,在一定程度上减少了追溯攻击源所需要的数据包的数量,在重构攻击路径时的误报率比起自适应概率包标记方法也相对较低。