DoS/DDoS(DoS：Dinal-of-Service，DDoS：Distributed DoS)攻击是目前Internet面临的最具有威胁性和破坏性的攻击方式之一。另外，在大多数的DDOS攻击事件中，攻击者普遍采用了“源地址欺骗”技术，使得防范DDoS攻击更加困难。近年，一项针对DoS攻击的防御技术-IP溯源技术，它能够通过重构攻击路径，进而快速准确地溯源到DoS攻击来源，因而吸引了众多学者的关注。　　 IP溯源技术主要分为分组标记技术和分组日志技术两类。分组标记技术虽然给路由器带来了较小的存储开销，但是溯源需要较多的数据包。分组日志技术虽然成功地实现了单包溯源，却给路由器带来了较大的存储开销。那么能否有一种技术其既能够实现单包溯源又不会给路由器带来较大的存储开销呢?　　 为此，本文围绕上述问题，提出了一种分层次的无状态单包IP溯源(AHierarchical Stateless Single-Packet IP Traceback Technique，HSSIT)技术，实现在域间和域内两级粒度上攻击路径重构，且网络核心不存储分组的任何数据。HSSIT主要思路在于：对分组头空闲字段重定义，以Generalized Bloom Filter(GBF)[32]数据结构记录各分组所经历的路径摘要信息(主要包括路由器AS号和IP地址信息)。当需重构路径时，首先利用GBFAS确定攻击源AS；然后该AS内的边界路由器利用GBFIP确定距离攻击源最近的路由器。然而，HSSIT技术域间路径重构时因GBFAS携带信息量不够及后来的AS位标记有可能倒转以前的AS位标记而存在二义性及漏报，进而直接影响到攻击溯源准确性。　　 针对上述问题，本文提出了一种域间路径重构无二义性的增强型IP溯源(AnEnhanced IP Traceback Scheme for Ambiguity-free Inter-domain Path Reconstruction，HSSIT+)技术。其主要思路在于：增加GBFAS携带的信息量，并利用m0、m1及GBFAS通过逐“跳”核对，还原出被倒转的位标记。　　 综上所述，本文的主要贡献点：　　 1.提出了一种分层次的无状态单包IP溯源(HSSIT)技术，其不仅实现了单包溯源，而且又不会给路由器带来较大的存储开销。　　 2.提出了一种域间路径重构无二义性的增强型IP溯源(HSSIT+)技术，其不仅消除了HSSIT域间路径重构时存在的二义性现象，而且又使得HSSIT域间路径重构时无漏报率发生。