DDoS攻击是目前网络环境下最为严重的威胁之一,一次DDoS攻击会给受害者带来巨大的经济和名誉损失。目前DDoS攻击仍在高速增长中,其发生频率越来越高,规模也在日益增大。而且我国是DDoS攻击的重灾区,全球有近半的DDoS攻击目标是在我国境内,因此研究DDoS攻击的应对方案有着重要的社会意义。DDoS攻击由于其分布性和虚假数据,导致溯源攻击者成为一项艰难的任务。SDN作为一种新型的数据和控制层面分离的网络结构,由于其可控性,能方便地获取整个网络中的流量,并控制网络中的流量走向,能有效地解决DDoS攻击防御的难题。本文提出了一种基于SDN的DDoS攻击检测与溯源方案,解决了传统网络中难以对攻击者进行溯源的问题,并以此为基础实现了从源头阻断攻击流量。文中方案的检测部分目前仅考虑ICMP泛洪、SYN泛洪和DNS反射放大三类攻击,是基于机器学习实现的。溯源部分的核心为搭建一个控制器网络和设计一份控制器之间的通信协议,以此实现两个功能:一是在多个SDN的控制器之间,构建并维护一个稳定独立的控制器网络,用于控制器之间通信;二是通过该协议进行攻击数据的交换,从而合作完成对DDoS攻击的溯源。测试结果表明,本文所构建的控制器网络和设计的通信协议能够稳定有效地运行,延迟也在可接受范围以内,而且本文所提出的检测与溯源方案能准确地检测到攻击并追溯到攻击者。