拒绝服务攻击被认为是目前影响网络尤其是因特网安全的主要威胁之一,造成拒绝服务攻击的原因主要是TCP/IP协议设计之初的缺陷和因特网的开放性本质。防御拒绝服务攻击具有重要的技术和社会意义,是较为活跃的研究领域之一。近年来研究者们提出了众多的防御技术方案,尽管各有所长,但仍存在一定不足,尚难以达到有效防御的目的。本文从对数据包进行标记的角度出发,针对在数据包一级实现对攻击路径追溯、攻击包的有效识别和过滤等展开深入研究,分别立足现有因特网和下一代安全因特网架构,提出了多个相应的具体防御技术方案。本文内容分别涉及计算机科学、网络通信、组合数学、密码学等多个技术领域,主要研究工作体现在以下几个方面:1.在深入研究攻击路径追溯技术的基础上,提出了基于冗余分解的确定性数据包标记方案。利用IP数据包首部的有限空间携带目标辖区的边界入口路由器的地址信息,受害主机可从到达的攻击包中提取该信息来重构攻击边界入口。和国际上的同类方案相比,该方案的效率和复杂度性能具有明显优势。在此基础上,本文进一步提出了跨辖区追溯的确定性包标记方案,可以拓展追溯范围到远程的攻击源自治系统辖区和源入口路由器。2.在深入研究基于静态路径标识的攻击包识别和过滤技术的基础上,提出了自适应的最优路径标识方案。路由器根据到达包的TTL值进行推算,生成和插入动态长度的标识,更有效地利用了标记域空间,最大程度降低了攻击者伪造标记域初值对该防御技术的不利影响。和国际上的同类方案相比,对攻击包的识别和过滤效果有显著提高。3.针对记录静态路径信息的标记防御方案需要受害主机参与,无法防御间接泛滥链路攻击的不足,在深入分析攻击流对网络状态影响的基础上,研究了记录网络状态信息以区分攻击包的动态数据包标识技术。具体提出了记录包不对称性的动态状态标记方案,标记和过滤均由路由器完成。和静态数据包标记方案相比,可以更有效地防御间接泛滥链路攻击。4.在下一代安全因特网架构领域,针对有可能被采用的权证技术进行了深入的分析研究。着重针对权证申请环节的安全性缺陷和权证机制对传输效率的影响等方面,提出了有效的改进方案,包括保护权证请求包的通知机制、两级权证、动态的权证分配等。这些改进措施可以有效消除拒绝权证攻击,并减轻权证本身对网络正常数据传输效率的影响。本文旨在推进拒绝服务攻击防御技术领域的研究,着重探索在攻击路径追溯、识别和过滤攻击包等技术环节的新思路,为积极有效地遏制拒绝服务攻击,维护网络安全,促进因特网健康有序地发展作出贡献。