拒绝服务攻击（Denial of Service，DoS）由于易实施、危害严重且难以防御，已成为目前互联网面临的最严重的威胁之一。而由其演进而来的分布式拒绝服务攻击（Distributed Denial of Service，DDoS）危害更大。如何对DDoS攻击进行有效的防御，已经成为互联网安全研究领域亟待解决的重点问题之一。　　 本文从DDoS攻击的原理、攻击方式、攻击工具等方面入手，论述了DDoS攻击防御技术和DDoS攻击源定位问题。分析了现有的各种DDoS预防体系，针对当前可行性较高且思想较为先进的流量认证体系所存在的一些缺点，提出了基于自治区域系统的流量认证体系。该体系以自治区域为单位展开认证，引入二重认证机制，通过启发式的安全强度系数，调整使用的认证尺寸，大大降低了安全代价。同时针对原流量认证体系数据传输效率低下、不能防御半开式连接攻击问题，也提出了相应的解决方案。　　 最后本文整合以上检测、响应和预防方法，构建了自治区域系统下的分布式拒绝服务攻击预防体系。该体系以自治区域为部署单元，可行性高，同时考虑了该体系在互联网上部分部署的情况，能够防御来自体系外不可控互联网络的攻击。体系内部有边界路由器、接入路由器、防御服务器三类节点，通过三类节点间有效配合以及自治区域间的有效配合，可以高效率的防御现有各种洪泛攻击。通过与其他预防体系相比，本文提出的自治区域系统下的分布式拒绝服务攻击预防体系由于考虑了来自不可控网络的攻击，具有更好的防御效果。