随着Internet的日益普及以及商务应用的逐渐丰富，网络的安全性已经直接影响着Internet发展的前景。人们纷纷开发出各种安全措施，象防火墙、入侵检测系统等来加强网络安全。然而这些系统又成为黑客们的首要进攻目标，拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击因其手段简单而迅速，有很强的隐蔽性，能够立即取得非常明显的效果而成为一种危害很大的攻击手段。 本文首先分析了常见的拒绝服务攻击的原理和攻击手法，可以看出，仅仅依靠特征字符串的检测或搜索特定的攻击工具的缺省字符串，缺省端口或PASSWD已不能满足检测拒绝服务攻击需要。在检测DoS／DDoS攻击时不但要增加空间性审计信息，而且还要摆脱被动忍受攻击的情形，受到攻击时要想办法躲避攻击，同时要根据攻击时的特点主动追踪攻击源，使攻击者受到应有的惩罚。然后根据这个思想给出了一种DDoS攻击防范系统的设计和实现，该系统由DDOS攻击检测系统、抵御系统和追踪系统组成。 本文的主要工作有： 在检测系统部分增强了结点间对空间性审计信息的沟通了解，提高检测效率；同时提出了联合防守协议及相关设计；实现中心检测模块与本地检测模块的设计及它们之间的通信问题；提供了Linux系统上系统的一个框架。 抵御系统提出了隐藏关键主机和关键组件受攻击时迅速转移的思想；并给出了系统设计和系统安全分析。 追踪系统利用IP包中的标识和标志字段的有限空间记录数据包所流经的路由器的地址，以使得受害主机能够利用被标注包内的信息重构出攻击路径集，从而追踪拒绝服务攻击下攻击源的技术；主要进行了标注方法和重构路径的研究。