分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是威胁互联网安全的主要因素之一，相比拒绝服务攻击(Denial of Service，DoS)，有更强大的威力和破坏力。在防御DDoS攻击的技术中，以数据包标记思想为基础的一大类防御技术以其独特的优势得到众多研究者的关注。攻击路径追溯(Path Traceback)技术能帮助受害主机定位攻击源的位置，从而有针对性地在更适当的位置部署相关防御措施，有效遏制攻击流对中间传输网络和攻击目标的影响。攻击路径标识(Pathidentificatio n， Pi)技术帮助受害主机有效识别合法包和攻击包，对攻击现象做出快速反应，使攻击影响减到最低。本文以数据包标记技术为基础，研究数据包标记技术在传统网络IPv4和下一代网络IPv6中的若干新技术，提出多个具体的优化和创新方案：(1)在对路径追溯和路径标识技术展开深入研究的基础上，提出了一个联合路径标识和确定包标记(Pi-DPM)的方案，通过在标记域中记录和传输两种信息，使得受害主机既能利用DPM标记准确重构攻击包真实源主机网络的边界节点地址，又能利用Pi标记有效过滤大量攻击包。仿真试验结果表明该方案能有效减轻DDoS攻击流对受害主机的影响，同时能准确定位真实攻击包来源所在的自治域位置。(2)在深入分析概率包标记(PPM)技术的基础上，针对PPM算法重构路径时间空间复杂度大的缺陷，提出一种基于攻击源标识的概率包标记(S-PPM)方案。新方案增加13位的标记字段作为攻击源标识，受害主机利用这一字段将标记包进行预分类，将多攻击源分布式攻击的路径追溯重构算法简化为多个单一攻击源攻击的路径追溯重构算法，极大减小了重构算法所需时间和难度。仿真试验结果表明该方案能有效减少攻击路径重构需要的数据包数量，并大幅度减少攻击路径重构的时间复杂度，提高路径重构效率。(3)在深入研究IPv6协议的报头结构和地址分配策略的基础上，针对IPv6网络的特性，提出一种基于IPv6地址分配策略的源端过滤确定包标记(SDPM6)方案。该方案利用源地址验证技术在保证源地址准确的情况下通过DPM算法追溯到IPv6包所经路径的入网节点，再通过网络管理者之间的协作，在源主机处过滤攻击包。方案精简标记信息，标记选项长度仅14字节，由目的选项扩展报头携带标记信息，且考虑到受害主机追溯到攻击源地址后启动过滤技术所需信息的问题。最后通过理论分析和仿真试验验证了SDPM6方案的有效性。本文提出的包标记方案在DDoS攻击防御领域做出了少量成果，但随着网络技术和应用的不断发展，DDoS攻击防御技术在实际应用中必然会面临许多新问题，对防御方案在效率、安全性、可扩展性等方面的要求也会越来越高。