网络的发展给人们的生活带来了极大的便利，但同时由于网络协议固有的缺陷，致使网络安全问题也日益突出。分布式拒绝服务(Distributed Denial of Service，DDoS)攻击由于容易实施、难以防御、难以追踪和攻击流汇聚等特点而成为最难解决的网络安全问题之一。从防御措施上来说，分布式拒绝服务攻击分布式的特性要求建立一种分布式的防御体系才能有效的对抗这种攻击，而像防火墙这类传统的防御措施只能被动的抵御攻击，所以防御效果不是很理想。因此对分布式拒绝服务攻击及其对策的研究具有很强的现实意义。本文分析了分布式拒绝服务攻击的原理，并对各类攻击形式进行了分类，分别从检测、防御和追踪三个方面分析了拒绝服务攻击的对策。攻击源追踪是一种能够定位攻击来源的技术，是实现拒绝服务攻击分布式防御体系的一个重要环节，它采取主动查找的方式来定位攻击源，不仅对整个防御体系的建设起到重要的作用，而且还可以作为从法律上追究攻击者责任的证据。包标记追踪技术是现阶段常用的攻击源追踪技术，论文深入地分析了基本包标记算法和高级包标记算法，基本包标记算法具有误报率高、重构攻击路径时计算量大等缺点，而高级包标记算法在误报率和重构攻击路径时的计算量方面都有了较大的改进，但受害者需要预先知道上游网络拓扑结构图，这种假设前提在真实网络环境中并不都是满足的。论文对高级包标记算法做出了改进，改进后算法继承了高级包标记算法的优点，摒弃了它过强的假设前提。这种算法的基本思路是：受害者与上游路由器进行交互，向其发出路径确认请求，上游路由器收到请求信息后协助受害者对路径进行匹配确认，并层层回溯，直到找到攻击源为止。因为上游路由器构成了真实的网络拓扑图，这样受害者就不需要预先知道上游拓扑图。网络模拟是进行网络技术研究的一种基本手段，论文不仅从理论上对改进后的算法进行分析，并且在模拟网络环境中进行验证。理论分析和模拟实验均表明，改进后的算法不仅收敛速度更快，而且更稳定，受标记概率的影响更小。最后，对本文进行总结，并指出以后的研究方向。