现今,互联网已成为社会基础设施的重要组成部分。网络安全不仅威胁到互联网的发展,而且关系到国家安全。DDoS攻击是目前公认的世界难题,是互联网面临的最严重威胁之一。现有的DDoS攻击防御方法由于要区分合法分组流与伪造分组流,因此其防御效果差,而且在一定程度上影响了用户正常使用网络。目前DDoS攻击源追踪技术由于需要收到大量攻击包、重构攻击路径的计算量大、路由器资源开销大,因此难以推广使用。为此,研究DDoS攻击防御和DDoS攻击源追踪具有重大的理论和现实意义。针对目前许多网络安全问题是由用户的网上行为造成的,而C/S模式不支持对用户的网上行为进行管理,结合DDoS攻击需要发送大量重复服务请求和组播用户需要动态管理的特点,提出了客户机-客户机管理器/服务器(CM/S)模式。CM/S模式是一个分布式模式,其客户机管理器用于管理用户网上行为,如:动态管理用户加入或退出组播,拦截来自网内的重复服务请求,禁止伪造源IP地址的分组进入互联网,禁止非请求的服务数据进入互联网等。本文对CM/S模式进行了理论分析和实验验证。针对发送大量重复请求是产生DDoS攻击洪流的重要原因,而组播的组地址使组播较单播更易于遭受攻击,结合组播能有效地节约网络带宽和服务器资源的特点,提出了面向服务的网络数据传输(SONDT)。SONDT通过减轻网络和服务器负载防御DDoS攻击,通过只使用单播地址实现组播解决组播使用组地址带来的安全问题,通过对分组的逆向路径检查阻止组播树外的主机发送分组到组播树。本文对SONDT进行了理论分析和实验验证。针对现有DDoS攻击源追踪技术实用性差,伪造源IP地址是DDoS攻击者常用的重要攻击技术,结合数据报支持动态路由和传统虚电路提供面向连接服务的特点,提出了可定向路径链(OCP)。利用OCP容易追踪网络攻击源(包括DDoS攻击源),可杜绝源IP地址伪造,可传输网络数据。本文对OCP进行了理论分析验证。利用新研究的CM/S模式、SONDT和OCP技术,在DDoS攻击防御不影响用户正常使用网络的条件下,设计了DDoS攻击防御新模型。经理论分析表明,新模型能杜绝源IP地址伪造,解决了组播使用组地址带来的安全问题,易于追踪网络攻击源(包括DDoS攻击源),能阻止组播树外的主机发送分组到组播树,能有效地防御DDoS攻击,如TCP SYN Flood攻击、UDP Flood攻击、Ping Flood攻击、HTTP Flood攻击、路由器保持状态攻击、SIP Flood攻击、Smurf攻击、Fraggle攻击、DNS攻击等。新模型实现了组播和单播及DDoS攻击防御的融合。