分布式拒绝服务攻击(DDoS)被称为“黑客的终极武器”,因为其攻击手法简单而攻击效果好。攻击者通过控制大量的傀儡机同时发送无用数据以消耗受害者的主机和网络资源来达到攻击的目的。而且,攻击者为了逃避入侵检测IDS和防火墙,采用了IP欺骗和仿造合法流量等手段,使得对DDoS的防范显得越来越困难。本文首先介绍了DDoS攻击的原理和现状,以及经典的DDoS工具和相应的防范措施等。重点剖析了基于路由器的DDoS的检测和防御方法。防御方面,着重分析目前的DDoS防御体系结构和PushBack回推机制;检测方面,主要分析基于统计学的检测方法,包括基于熵和基于BloomFilter的检测方法。其次针对单一源端防御、中间网络防御和受害端防御的不足,提出了一种分布式的防御体系DDS(Distributed Defending System)。将功能相同的防御节点多点部署到不同的路由器上,用一个管理节点来实现对整个体系中所有防御节点的统一管理,实现一种分布式协同防御的效果。该防御体系可总结为“全局检测、本地回溯、远端防御”十二个字。这样一是可以绕开受害端的网络瓶颈进行攻击回溯,二是可以将攻击流扼杀在接近源端的地方从而减小攻击流占用网络带宽而对网络造成的危害。然后,通过分析采用IP欺骗技术的DDoS攻击包源信息的突变性质,借鉴并改进HIF(History-based IP Filtering)机制,结合统计学思想,提出一种新的基于源目的聚集检测和识别算法。在检测方面,按一定数量的数据包中新出现的源IP地址的比例值构造序列,采用序列变化点的检测方法检测到攻击发生的时间点。识别方面,根据攻击的目的IP地址都相似甚至相同,采取DBSCAN密度聚类方法,在众多可疑数据包目的地址中找到极大目的地址聚集,该聚集中对应的数据包源地址认为是攻击包的源地址。再将这些攻击数据包的源地址集合再次映射成BloomFilter表,即攻击特征信息表。其他防御节点收到该表后就可以根据源IP地址匹配判断是否有攻击包流过。最后,对该策略进行模块和功能实现,并进行了一定的实验证明其正确性。