伴随着互联网的广泛应用和电子商务的普及，DDoS（分布式拒绝服务）攻击仍然是影响互联网安全的主要因素之一。不同类型的拒绝服务攻击防御技术也应运而生。IP溯源技术作为主流的防御手段之一，在近年来受到了研究者的广泛关注。拒绝服务（DoS）攻击主要是通过非法占有网络的带宽和资源，造成被攻击的目标因忙于响应攻击者的无效请求而不能正常为合法用户提供服务。在DoS攻击的基础上产生的新型攻击形式：分布式DoS攻击，就是指多个攻击主机同时实施DoS攻击。IP溯源技术是用来追踪攻击源的，但是在DDoS攻击中，攻击者多采用伪造的地址进行攻击，所以想要找出真实的攻击者是有一定难度的。本文在研究数据包标记方案相关算法的前提下，在如何对数据包进行有效标记及实现攻击路径重构等方面开展了研究。本文研究工作主要体现在以下几个方面：第一，本文首先分析了现今互联网网络安全的现状；从DDoS攻击的产生原因、分类和常见的攻击方法三个方面对DDoS攻击进行了阐述。对各种溯源技术进行了研究，着重分析了数据包标记技术的相关攻击源追踪方案，对各种方案的优缺点进行了比较。第二，针对基本PPM方案不适用于DDoS攻击下溯源的缺点，提出了采用动态标记概率的数据包标记优化方案。本标记方案充分挖掘IP包头的字段，扩展了标记的空间，同时减少了分片数，降低了重构攻击路径时的计算复杂度，也减少了误报的发生；利用TTL域值动态计算标记概率，使受害者以相同概率收到每个路由器的标记信息；使用hash函数交叉验证，提升了标记方案的安全性。第三，通过分析确定包标记技术相关方案，针对基本确定包标记在攻击者不断对数据包更换源地址的情况下及边界路由器被攻击者控制时无法还原出入口路由器地址的问题，提出了基于自治系统的确定包标记优化方案。此方案采用分片记录及完整地址编号记录分别在源端和目的端同时部署追踪算法。实现了域间追踪，加强了安全性，同时还保障了ISP的隐秘性。第四，通过理论证明及使用网络仿真工具NS2模拟实验，验证了本文提出的两个优化方案的可行性。