随着互联网的快速发展和广泛应用,网络技术的发展也日新月异。电子商务、网上银行等网络应用在为人们提供了便捷服务的同时也带来了更多的安全问题。特别是网络入侵行为给用户带来的影响和损失越来越大。所以网络信息安全技术的研究显得日益迫切。近几年来,DoS(Denial of Service)攻击,尤其是DDoS(Distributed Denialof Service)攻击,给互联网带来了很大的冲击,造成了极其恶劣地影响,而且每年此类攻击仍在以近50%的速度增长。另一方面,(D)DoS的防治是相当困难的,因为它利用了TCP/IP协议本身的漏洞,使攻击者可以使用虚假的IP源地址发送数据包,这样即使受害者得到攻击包仍然无法找出傀儡主机或者真正的攻击者,从而减轻甚至制止攻击行为。因此如何得到数据包的源头,即IP反向追踪问题,便引起了各界的广泛关注。目前,国内外的研究集中在IPv4下数据包的攻击路由追踪算法方面。研究人员提出了多种追踪方案,如链路测试、数据包记录、ICMP追踪、数据包标记、覆盖网络等,这些方案都存在各自的优缺点。因为协议的区别要在IPv6网络上实现那些技术就必须作出修改。IPv6协议是“互联网协议第六版”的缩写。在设计IPv6时不仅仅扩充了IPv4的地址空间,而且对原IPv4协议在IP报头格式、IP地址分配方式、路由协议、域名解析、自动配置和安全等方面都进行了重新考虑,做了大量改进。但是,IPv6网络还处于实验阶段,而且有很大可能会发生DDoS攻击。确定性包标记技术是利用边界路由器写入数据包中的标记信息来识别攻击源的。该方案可以用很少的数据包来追踪攻击。另外,服务提供商不会在执行这种方案的时候暴露内部网络拓扑。在IPv4下标记信息一般是写到数据包头的标识字段中的,但IPv6的数据包头中已经没有了标识字段。所以,现有的确定性包标记技术不适用于IPv6网络。本文对现有的确定性包标记技术做出改进,使之能够在IPv6网络环境中得到应用。并且避免了IPv4下该方案的若干缺点,同时只要一个数据包就足够识别攻击来源。本文还提出一种基于小数据包阂值的自适应标记策略,动态的进行数据包标记,可显著减少边界路由器的计算时间。