随着互联网络技术及其应用的不断发展,大量的关键服务都开始通过网络来提供,网络的安全性和可用性显得越来越重要。(D)DoS攻击由于容易实施、难以防范、难以追踪等原因,已经成为网络中破坏性最大且最难解决的网络安全问题之一,对互联网的正常运行带来了极大的危害。(D)DoS因为利用了TCP/IP协议本身的漏洞,使攻击者可以用虚假的IP源地址来发送数据包,从而达到隐藏自身的目的。如何在攻击者使用虚假IP源地址的情况下,快速准确找到攻击者的位置,成为了应对攻击的关键问题,相应的地址追踪溯源技术也成为了研究的热点。目前,国内外对地址追踪的研究主要集中于IPv4环境下,在对数据包源头的追踪方面提出了多种方案,如链路测试、ICMP追踪、数据包标记、覆盖网络等,这些方案都有各自的优点和不足之处,但随着IPv4协议的局限在各个方面不断涌现,新的IPv6协议以其更优的特性将最终取而代之。IPv6即是“Internet Protocol Version 6”的缩写,是IETF制定的用于取代现行IP协议的下一代互联网协议。它在大大扩充网络地址空间的同时,还具有简化的报头和灵活的扩展、层次化的地址结构、即插即用的连网方式、网络层的认证与加密、服务质量的满足、对移动通信更好的支持等新特性。但IPv6协议由于发展不是十分成熟,仍然难免会遭到(D)Dos攻击,而目前提出的各种应对(D)DoS攻击的方案,都需要经过改进后才能够应用到IPv6网络中。确定包标记算法是利用边界路由器在数据包中写入的标记信息来定位攻击源的一种数据包标记技术。该方法可以用少量的数据包来对攻击源进行追踪,服务提供商也不会因为执行这种算法而暴露内部网络拓扑结构,它能同时追踪上千个攻击者,并且易于实现。在IPv4下边界路由器标记的信息都是记录到数据包头部的标识符字段中的,但IPv6的数据包头中已经取消了标识符字段,所以现有的确定包标记算法不能直接部署在IPv6网络中。同时在确定包标记算法中没有认证措施,攻击者在控制了路由器(边界路由器或中问路由器)后,将伪造的虚假地址或其它止常节点的地址作为标记信息写入包头中,使受害者重构出错误的入口地址而导致追踪失败。本文对现有的确定包标记算法做出改进,使之能够移植到IPv6网络环境中,并将IPv6协议的特点和数字签名方案相结合,提出了一种IPv6环境下基于身份逐跳认证的确定包标记算法,彻底解决了标记欺骗问题,只要一个数据包就能迅速准确地定位攻击源位置,且可以高效应对DDoS攻击。