随着基于Web的应用的迅速普及，许多关键服务都通过网络来提供，保证网络的安全性和可用性成为必要。分布式拒绝服务攻击，目的在于耗尽网络资源从而使合法用户的服务请求被拒绝，是最难解决的网络安全问题之一。本文提出了基于消息认证码(Message Authentication Code，MAC)的确定包标记算法，设计了基于确定包标记(Deterministic Packet Marking，DPM)算法的分布式拒绝服务(Distributed Denial of Service，DDoS)攻击防御系统，使用网络模拟工具NS2构建模拟分布式拒绝服务攻击和确定包标记算法的平台，并对模拟结果做了讨论。DPM算法只需要边界路由器进行标记，可以对只使用少量数据包的DDoS攻击进行追踪，能同时追踪上千个攻击者，并且易于实现。遗憾的是，DPM算法存在安全隐患。针对确定包标记算法中，被攻击者控制的路由器(边界路由器或中间路由器)修改标记或加入伪造包，进而妨碍受害者重构入口地址的问题，本文提出了新的基于MAC认证的DPM算法。研究表明，认证确定包标记(Authenticated Deterministic Packet Marking，ADPM)算法提供了足够的安全性，能有效阻止子网内的攻击者或傀儡路由器伪造虚假的标记，从而保证了受害者端地址重构的准确性。NS2是功能强大的网络仿真工具，但不支持DPM算法的模拟。本文扩展了NS2，构建了DDoS攻击和DPM算法模拟平台，并详细讨论了在模拟DDoS攻击和DPM算法场景时，网络拓扑、流量模型以及发包率的选择。在该平台上模拟基于Hash的确定包标记算法，得到的收敛时间的实验值与理论值相符。许多现有的技术(如，IP反追踪技术)聚焦于攻击发生后追踪攻击者的位置，而几乎没有考虑在攻击发生时削弱攻击影响。本文给出基于DPM的DDoS防御系统，可以有效的过滤大部分恶意数据包，从而提高合法流量的整体吞吐量。该防御系统借助DPM算法获得攻击包的入口地址，并在受害者端过滤攻击包。在NS2模拟平台上对该防御系统使用不同阈值时的接受率差值进行了测试，实验结果表明，其性能优于之前的研究成果。