分布式拒绝服务攻击DDoS的全名是Distributed Denial of Service,很多拒绝服务(Denial of Service,DoS)攻击源一起攻击某台服务器就组成了DDoS攻击。DoS攻击以及DDoS攻击是目前Internet面临的最具威胁性和破坏性的主要攻击形式。攻击来源的追踪查找(IP Traceback)是抵御DDoS攻击的一项主动防范技术,对DDoS攻击数据来源的追踪有助于发现幕后攻击者,并为追究其法律责任提供事实依据。由于攻击者在实施DDoS攻击时大多结合IP地址欺骗技术(IP spoofing),甚至动用成千上万的“傀儡”主机,使得对DDoS攻击的追踪成为DDoS防御中一个难以解决的问题。研究人员为此提出过多种方案,但这些方案普遍存在计算负荷重、追踪速度慢和虚报率高等诸多不足。因此,DDoS攻击防御方法的研究和改进一直备受关注。本文对DDoS攻击防御展开研究,主要贡献如下：(1)结合DDoS攻击防御的最新研究情况,对DDoS攻击的防御技术进行系统分析和研究,对不同检测与防御方法进行比较,为今后进一步研究DDoS攻击的防御打下理论基础。(2)利用IP回溯的方法对DDoS攻击进行防御,可以在一定程度上阻止DDoS攻击的发生。在这个工作的前提下,提出了一种基于TTL(Time to Live)的路由器轻量级IP回溯方案,通过对IP报头TTL的记录来获得其攻击路径。该方法在IP回溯过程中,不需要产生新的ICMP包,使得攻击者无法察觉受害主机对其追踪该方法在任何强度的DDoS攻击下都适用,解决了传统PPM(Probabilistic Packet Marking)方法在高强度的DDoS攻击下失效的问题。该方法可以有效解决分布式拒绝服务攻击的重构问题,同时也提高了回溯的效率。(3)提出了因特网服务供应商(Internet Service Provider,ISP)级别下以互联网自治域为防御单位的DDoS防御方法EBPPM(Edge router Based Probabilistic Package Marking)在攻击没有发生时,边界路由获取样本以及周期性的更新所取的样本,使得样本更加接近实际的访问量；当攻击可能发生的时候,通过记录流量与样本流量的比值a,来判定是否对该自治域进行一定流量的限流,通过参数β的值来控制限流的程度。以自治域为单位进行回溯,解决了传统方法的大跳数失效的问题,在攻击跳数较大的时候时间复杂度,回溯成功率都有了很大的进步。本方案在目前互联网的发展局势下有一定的实用价值,使得IP回溯的适用范围有了一定的延伸。