互联网的迅速发展使人们对网络的依赖越来越大,网络的安全性也就越来越受到人们的重视。但是,由于网络本身(特别是TCP/IP协议)的安全缺陷,各种攻击不可能消失,其中拒绝服务(Denial of Service,简称DoS)攻击以其攻击范围广、隐蔽性强、简单有效等特点成为常见的网络攻击技术之一,极大地影响了网络和业务主机系统的有效服务,特别是分布式拒绝服务(DDoS, Distributed Denial of Service)攻击,由于其隐蔽性和分布性而难于检测和防御,从而严重威胁着互联网的安全。本文从分析当前DoS/DDoS攻击的原理入手,在分析并研究了DoS/DDoS攻击的常见攻击形式和DRDoS攻击原理的基础上,对DDoS/DRDoS攻击进行合理分类,即分为带宽耗用型攻击、资源衰竭型攻击和编程缺陷型攻击三种。接着,就目前常见的DDoS攻击防御措施做了简要的介绍,这几种常见的防御措施有流量/带宽限制策略、网络边界硬化策略、攻击监测策略以及攻击响应策略。并在这几种常见的防御措施基础上提出了一种新的防御措施即DDoS客服协同防御机制。该机制提出了从傀儡机(DDoS)和服务器端进行协同防御的机制。对于像UDP flood以及ICMP Smurf这类非面向连接的攻击,主要在傀儡机端采用流量检测和协议分析的方法;对于面向连接的攻击,我们采用客服协同的SYN Cookie技术,从而主动有效地防御攻击DDoS。最后,介绍了有关网络仿真的相关知识,并利用OPNET网络仿真软件进行了仿真实验,初步验证了DDoS客服协同防御机制的有效性。