随着互联网的广泛应用和网络技术的快速发展,人们的生活越来越离不开网络,尤其是近年来电子商务和网上银行等技术在人们生活中的应用,使人们享受到了更便捷、更优质的服务。但是,在人们享受服务的同时,潜在的网络安全问题以及随之而来的巨额的经济损失更是让人们胆战心惊。尤其是近几年来危害最严重的拒绝服务攻击DOS,它使用了IP地址欺骗技术,向受害主机发送大量的数据包,最大限度的占用受害主机的网络资源和系统资源,使受害主机不胜负荷,几近崩溃,无法向合法用户提供服务。还有由拒绝服务攻击引申而来的分布式拒绝服务攻击DDOS,它利用网上的探测工具,攻陷大批量的网络主机,使其成为傀儡机,形成大规模的、协同作战的攻击阵营,发送命令使其同时发动拒绝服务攻击,具有更大的危害力,尤其主要针对的是大型的商业网站、政府服务器等,带来的损失更是难以估量。所以,国内外的专家学者们对其进行了深入的研究并提出了诸多应对方案,如增强容忍性、提高主机系统的安全级别等。其中,最有效的方案之一就是IP追踪方案,它是通过将攻击路径信息记录在数据包中,并在受害端根据这些信息重构出攻击路径,找到攻击源,最后在攻击源彻底阻止攻击。基于此,savage等人提出了基本概率包标记方案PPM,当数据包经过路由器时,路由器以固定概率对其进行标记,将64bits的地址信息记录在数据包头中16bits的标识域中。本文主要是对PPM进行了深入研究,分析其存在的优缺点,并针对其缺点提出相应的改进措施,还在此基础上提出了新的包标记方案,提高了路径重构的效率。本文首先简单的概括了拒绝服务攻击的攻击原理、机制和主要攻击方法,并对现有的应对方法进行了简单的研究和分析,重点研究了基本包标记方案,由于其提出的时间比较早,不可避免有考虑不周的地方,如计算开销大、弱收敛性等。针对PPM方案中IP数据包包头的存储空间不足的问题,本文提出了一种改进方案,由于IP数据包头中服务类型TOS域的后两位是保留位,在数据包传输中几乎没有用到过,而且TTL域的值在每经过一个路由器时都会自动减1,所以我们利用TTL域充当PPM方案中的distance域并有效利用了TOS域的保留位,有效降低了标记空间的开销,减少了路径重构时所需的数据包数。由于基本概率包标记方案PPM中,路由器对其经过的数据包是以预先设定的、固定的概率进行标记,使得被标记过的数据包还会被后续路由器标记,覆盖掉原来的标记,使得受害者接收到的标记数据包中最接近攻击者的路由器的信息最少,产生了最弱链,增加了路径重构时所需要的数据包数,从而引起弱收敛问题。所以,针对此问题,本文提出了一种新型的非重复包标记方案,有效利用了IP数据包包头中标志位(flag)和TOS域的保留位以及TTL域,使得被标记过的数据包不会再被后续路由器标记,从而有效的解决了最弱链引起的弱收敛性问题,降低了路径重构时的计算开销。为了验证和评估本文提出的方案的优越性,搭建平台进行了实验并对相关的算法和性能进行了验证,并和基本包标记方案(PPM)进行了比较。总之,本文提出的包标记策略,使得受害者可以更快的重构出攻击路径,找到攻击源,在攻击源阻止攻击,有力的威慑了攻击者,更大程度的减少攻击带来的损失。