随着Internet的发展,IPv4地址资源即将用完,近年来IPv6网络开始普及。网络安全向来是互联网的重头戏,IPv6网络也不会例外。而且可以预见DDoS攻击将是IPv6网络的主要安全问题之一,因为DDoS攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击,IPv6的推出并没有对这些漏洞进行修复。在IPv4网络下,自1999年第一次DDoS攻击发生以后,人们对DDoS的防御进行大量的研究,提出了许多行之有效的方法,这些方法可以为我们研究IPv6网络下DDoS防御提供很好的借鉴作用。但是,IPv6有许多新特性,并且有些新特性导致IPv6与IPv4不相兼容。由此使得IPv6下的DDoS攻击与IPv4下的DDoS攻击具有不同的特点,并且使得IPv6下的DDoS防御也会有新的要求。因此,本文对IPv6下DDoS的防御展开研究,主要有以下几部分工作:讨论了典型的DDoS攻击以及典型DDoS攻击工具的特点,分析了典型的DDoS防御方法并指出其优缺点。研究了IPv6协议的框架和存在的安全问题。这些安全问题可以总结为两方面:IPv4下的一些在IPv6下依然有效攻击手段和IPv6新特性带来的新攻击威胁。IPv6所带来的新攻击威胁中,又以各种DDoS攻击最为突出。对此本文讨论了IPv6的几个最主要的新特性,根据这些新特性分析IPv6下DDoS攻击的新特点和发展趋势,分析了IPv4下原有DDoS防御方法在IPv6新环境下的不足。改进了基于统计特征的DDoS防御方法。本文根据IPv6的新特性和IPv6下DDoS攻击的发展趋势对基于统计特征的DDoS防御方法进行改进,使得其对IPv6下DDoS攻击具有针对性。改进后这种方法综合了速率过滤和指纹过滤的优点,克服了他们各自的缺点,使得防御的效率和准确度达到一个平衡。本文改进的方法从两个不同的角度对网络数据包进行统计分析和过滤。首先从包的角度把网络数据包分成正常流和异常流,减少对正常数据包处理,达到提高效率的目的。其次从属性的角度对异常包进行打分,引入方差作为权值,达到区分正常突发流量和DDoS攻击的目的。最后,分析了linux下自带防火墙框架NETFILTER,并在其上实现了一个本文改进后的基于统计特征的DDoS综合防御系统对本文提出的方法进行了有效性测试。实验结果表明,本方法有效可行。