拒绝服务攻击由于实施难度小、攻击范围广、造成的经济损失巨大的特点,成为危害互联网安全的最为严重的问题之一。目前对拒绝服务攻击的防御只能做到缓解而不能完全防御,而攻击溯源不仅能定位到攻击者,更能阻止将来的攻击。因此,对拒绝服务攻击的攻击者溯源成为亟待解决的问题。数据包标记技术是近年来主流的对拒绝服务攻击进行溯源的技术,它将攻击数据包经过的路由器节点信息标记在数据包中,并在受害者处收集标记信息重构出完整的攻击路径,达到溯源攻击者的目的。本文基于拒绝服务攻击溯源技术,针对自治系统内的包标记溯源技术进行了研究。首先分析了当今可行的溯源系统的研究现状,并介绍了拒绝服务攻击的攻击原理及特点,根据攻击特点研究分析可行的溯源方案,详细阐述了日志记录法、输入调试法、ICMP追踪法、覆盖网络法、数据包标记法的工作原理,并对各个溯源方法进行性能分析与综合评价。其次,研究现有的拒绝服务攻击的包标记溯源技术,提出了现有方案的缺陷与不足。再者,针对现有包标记溯源技术不能抵御伪造数据包、路径重构耗时及分布式攻击下路径重组困难的问题,提出了基于分片关联的动态概率包标记算法。该算法根据数据包首部的特点,增大了标记域的选取空间;针对数据包在网络上的传输特点,分析了修改TTL的可行性与方法;提出了动态概率的计算方法;阐述了数据包标记信息处理及标记的过程,并给出了在受害者处攻击路径重构的算法。第四,针对修改的算法提出了基于分片关联的动态概率包标记溯源系统,详细介绍了系统的设计,关键功能模块的具体设计及实现方案。最后,使用多网卡服务器模拟路由器搭建实验环境,并配合使用DDoS攻击工具TFN2K对系统进行测试,证明基于分片关联的动态概率包标记溯源系统在自治系统内有准确的溯源结果,验证了本包标记溯源系统的有效性。