DDoS攻击是一种简单而有效的计算机网络攻击,广大科研人员对其进行了很多研究以求检测防御的方法。但与研究策略的开展同步的是,它的攻击方法和攻击工具也在不断更新升级。传统的DDoS攻击主要发生OSI七层互联网络协议中的网络层和传输层,它通常是利用了TCP/IP协议的漏洞或者某些软件系统缺陷发起的攻击,而最近几年出现了一种新型的DDoS攻击,它主要以各种高层应用为攻击目标,即主要发生在应用层,因此我们称其为基于应用层的DDoS攻击。这种新型攻击破坏性更大,也更难被检测和防御。本文对传统的DDoS攻击技术做了深入分析,如SYN Flooding等具有代表性的传输层DDoS攻击,并根据DDoS检测技术在网络中部署的不同位置,将检测方法分为三类,即源端检测、目的端检测、傀儡网络检测,同时对具有代表性的检测防御技术做了详细阐述和总结。应用层DDoS攻击是本文所要研究的重点。和传统的DDoS攻击类似,应用层DDoS攻击也有以下两种攻击方式:带宽耗尽型和主机资源耗尽型,其中主机资源耗尽型占据绝大多数。在分析了应用层攻击的基本特点和原理之后,着重分析了一个通用的应用层DDoS攻击检测防御模型DOW。该模型将应用层DDoS攻击分成三类,即会话flooding、连接flooding、不对称攻击,并根据历史会话资料来检测当前会话是否异常。同时,该模型还采用了进攻即防御的思想,用鼓励模型来增加正常会话的速率,达到防御攻击的目的。本文还提出了一种CC攻击的检测防御方法。该方法利用请求信息熵的变化来检测CC攻击。通常情况下,由于客户发送请求对象的随机性,请求信息熵会维持在一个较大的值,且较稳定的变化,而CC攻击发生时,会集中请求某一类页面,这将引起请求信息熵的迅速减小。该方法还利用了网页重定向的方法来识别攻击者,在检测到攻击时阻断其连接而达到保护目标主机的目的。实验证明,该种检测防御方法具有较好的效果。