防御分布式拒绝服务(DDoS)攻击是当今网络安全领域最难解决的问题之一,研究DDoS攻击及其对策是非常重要的。许多研究人员对拒绝服务攻击和分布式拒绝服务攻击作了深入的研究,并提出了一些具有实际意义的对策。IP追踪是应对拒绝服务攻击和分布式拒绝服务攻击的重要手段之一。本文重点研究了IP追踪中包标记算法。本文分析了DDoS攻击的攻击原理,攻击机制和攻击方法,并对以追踪DDoS攻击来源的数据包标记方法进行了研究,分析了它们各自的优缺点。对自适应概率包标记方案作了改进,提出了自治系统中包标记方案,使得其攻击路径重构时的运算量,所需的数据包数量和误报率在原有基础上大为降低。针对现有的数据包标记方案中里都设置了一个distance域,用来记录数据包经过的路由器数目,由于IP包头中TTL域也可以用来实现该功能,因此可以利用TTL域来代替distance域,减少数据包分片,从而进一步减少路由器开销。并针对攻击者实行TTL欺骗提出了一个方案,可以有效的阻止攻击者伪造TTL值。针对自治系统的特点,在高级包标记方案基础上我们提出了一种节点包标记方法,可以准确快速定位到攻击者。经理论分析能降低误率,经实验证明,受害者只需很少的数据包就能定位到攻击者,为受害端及早地响应攻击争取了时间。最后,对本文的工作进行了总结,并指出了以后的研究方向。