随着互联网的飞速的发展，网络安全的重要性越来越突出。如今，DoS攻击业已成为网络安全领域最为严重的问题，它利用众多受到入侵控制的主机，同时向受害者主机发起攻击，以达到消耗目的主机临界资源、阻碍正常服务等目的。然而，由于现在已有的安全机制对这些攻击没有提供有效的防护措施，DoS攻击很容易成功，而且很难被抓获。 加强反DoS攻击的取证技术的研究，是将罪犯绳之以法的有力武器。本文从取证的角度，提出利用协议分析的方法，取得DoS攻击存在的证据，以作为法庭起诉之用。主要工作如下： (1)分析了常见DoS攻击的原理和典型的攻击方法，从协议的观点，对其进行了简单分类，提出了需要解决的问题。 (2)构建了系统的框架，提出采用WinPcap捕获网络原始数据包，进行特征分析。 (3)采用自行开发的dispath程序，对遭受SYNFlooding攻击时捕获的数据包进行了协议分析，取得DoS攻击的有力证据。 (4)对协议分析取证程序的扩展进行了一些思考。