网络在人们社会生活中的应用越来越广泛、越来越重要,但是由于攻击事件层出不穷,网络安全问题逐渐成为网络服务和应用进一步发展所需解决的关键问题。分布式拒绝服务攻击(DDoS)是近年来网络上流行的、导致巨大经济损失的攻击之一,为其建立有效的防御机制是当前维护网络安全的重要目标。 攻击者通过控制网络中的很多傀儡机,在同一时间向目标主机发送大量应答请求,从而把目标主机的资源消耗殆尽,并且同时造成了网络拥塞。这种攻击利用了现在IP协议的不足,使得现在的安全机制没有办法提供有效的防护措施。由于攻击者利用了源地址欺骗,变化的包信息等等来保护自己,使得现有的各种网络追踪,防护技术效果不佳。 本文通过对常见攻击方式的特点进行研究和总结,结合速率限制、数据包过滤、包标记等防御技术,给出了一个分布式防御DDoS攻击的系统方案。该模型以网域间互相协作的方式来构建系统,以路由器为基本操作单元,通过部署在网络中间域和目标端的系统模块。方案采用两级流量控制。通过对其进行的网络仿真和实验分析,阐述了该系统的优点和不足,并提出下一步的工作。仿真实验的结果证明了本模型对分布式拒绝服务攻击具有较好的抵抗能力和性能。