随着网络技术及其应用的不断发展,各种黑客工具和网络攻击手段也随之倍出,网络安全问题显得越来越重要。拒绝服务攻击以其易实施、难以防范、难以追踪等特点成为最难解决的网络安全问题之一,给网络社会带来极大的危害。因此,研究拒绝服务攻击及其对策具有极其重要的意义。本文首先介绍了拒绝服务(DoS)攻击的定义、思想、发展趋势及DDoS的攻击过程。接着,介绍了DoS攻击分类以及攻击对策的研究,就有关DoS攻击反向追踪问题进行了详细介绍,并对几种反向追踪算法进行了比较。然后对ICMP反向追踪(iTrace)方案进行了深入的研究,分析了它的各种潜在问题。针对现有方法中iTrace信息中标记的IP地址或相关信息导致重构完整攻击路径需要过多的数据包并且计算量大的问题,本文提出了在iTrace分组中重新编码的方案。该方案可在较短的时间内推算出主要攻击路径,显著减少路径重构时对数据包的需求量,从而可以使受害者可以更快捷地追踪到攻击源,为受害者尽快响应攻击、减少攻击带来的损失创造了条件。针对现有目的驱动iTrace方案中攻击者通过篡改路由表的设置来干扰受害者进行追踪的安全隐患,本文提出了基于流量分类的iTrace方案。该方案通过依据目的位的值将接收流量分成目的流和正常流,并分别对这两类流量基于不同的概率实行iTrace方案,从而可以确保在获得原方法同等的性能的基础上,解除原方案中存在的安全隐患。