Internet在人们日常生活中扮演着越来越重要的角色．一份来源于国际电信联盟和经济合作与发展组织的报告表明，目前全球互联网用户总数已超过10亿，其中8.45亿用户经常上网，同时，企业、学校、社会各个机构都离不开Interact。Internet已深入到社会生活的方方面面，成为社会影响力大、发展前景广阔的新型产业和新型媒体。而由此产生的网络安全问题也日益突出。病毒、蠕虫、木马程序在网络上泛滥横行，给个人用户和企业造成了巨大的损失。 拒绝服务攻击是目前网络攻击中最难以防御的攻击，由于网络中存在很多容易被控制的主机，使得分布式拒绝服务(DDoS)攻击的危害越来越大。目前全球对DDoS攻击进行防范、检测和反击的研究工作没有实质性的重大突破，没有能准确及时预测DDoS攻击发生的有效方法，DDoS攻击的分析和防御是当前网络安全领域的重要前沿。 本文阐述了DDoS攻击的基本原理，常见的攻击工具和攻击方式，重点对典型的TCPSYN Flood、TCP Flood、UDP Flood、ICMP Flood和Smurf攻击进行了分析。对不同传输协议的DDoS行为特征进行试验研究，针对不同类型的DDoS攻击提出了相应的防御方案。 全文分六个部分。第一部分主要介绍分布式拒绝服务攻击的当前概况、课题的意义和存在的问题。第二部分介绍相关技术研究，主要讨论了DDoS原理，DDoS防御的相关技术。第三部分是有关实验的平台。第四部分是DDoS防御系统的设计。第五部分进行了方案的功能和性能测试的结果。第六部分是总结和对未来工作的展望。 本文主要贡献： 1)通过实验得出DDoS行为的特征，弄清楚了DDoS带宽攻击的特性。 2)将累积增量和作为评估带宽消耗性防御系统的有效性的量化参数，将此作为防御系统的一个评估参数。对网络安全的工程设计有重要的参考价值。 3)提出基于信息熵值的实时攻击检测方案。基于信息熵值的实时攻击检测不仅能非常迅速的报告攻击的到来，而且能将误报率控制在非常低的水平，这样就提高了防御系统的效率。 4)采用了基于SYN Proxy技术的SYN Flood攻击防御策略，该策略在防御SYN Flood攻击防御的实验中表现出优异的功能。