随着互联网的迅速普及和应用的不断发展,各种黑客工具和网络攻击手段也随之倍出,网络攻击导致网络和用户受到侵害,其中分布式拒绝服务DDoS以其攻击范围广、隐蔽性强、简单有效等特点成为常见的网络攻击技术之一,极大地影响网络和业务主机系统的有效服务。DDoS雇佣Internet上很多的协从主机,消耗目的主机和合法客户端之间的临界资源,它还有一个负效应,就是经常在源端到目地端的通路上造成网络拥塞,搅乱正常的Internet操作。现在已有的安全机制对这些攻击没有提供有效的防护措施。大量的攻击机器使用源地址欺骗使得现有的跟踪是不可能的。攻击者应用合法的数据包和变化的包信息使得描述和过滤攻击流都变得无效。自然分布式的攻击引起的分布式防御策略,在管理员之间协作是很难达到的,为了保证安全需要很高的代价。本文首先介绍了DDoS攻击的基本原理,常见的攻击工具和攻击方式,重点对典型的TCP SYN Flood、UDP Flood、ICMP Flood和Smurf攻击进行了分析。在此基础上,从DDoS攻击源追踪和目标端防御两个方面对DDoS攻击的防范技术作了详细分析。并在DDoS攻击源追踪方面,开发了一个小型的网络交换设备流量侦测系统NSDFD,旨在发生攻击时,可以在局域网内迅速定位攻击源,从而在源端切断攻击。在DDoS攻击防御方面,讨论了基于拥塞控制的DDoS防御机制,指出在DDoS攻击下,网络拥塞是由于一个精心设计的数据流的子集-----聚类造成的。在发生DDoS攻击时,被攻击的边界路由器由于拥塞而产生丢包现象,速度限制就是使边界路由器根据被丢弃的报文提取网络流量特征(高流量地址),通过ACC算法限制此特征的网络流量,达到减弱DDoS攻击的目的。结合Ipv6数据流标签,对ACC聚类识别算法进行了改进;并在NS2下模拟了DDoS攻击实验,比较了改进后的算法和原算法在性能上的差异。结合DDoS攻击数据包的显著特性,对Rate-Limiter中被限制速率的数据包,分析其数据包头,缩小拥塞标识。最后对本文的研究内容作了总结,并提出了进一步的研究方向。