分布式拒绝服务(Distributed Denial-of-Service,DDoS)攻击是一种攻击者通过控制大量傀儡主机发动的大规模拒绝服务攻击,有着强大的威力和破坏性。传统的防御措施包括像防火墙、入侵检测系统等,一般被部署在用户端,采取的是被动防御的策略。在面对大规模的DDoS攻击时,往往只有被动挨打,而无还手之力。攻击源追踪技术是一种针对DDoS攻击的特点发展起来的新技术。它采取主动出击的策略帮助被攻击者定位攻击的源头。根据追踪结果,我们不仅可以有针对性地在更适当的位置部署相关防御措施(如流量限速器Rate Limiter),而且可以从攻击的源头有效地扼制攻击流对中间传输网络和被攻击者的影响。因此,这种技术是构建分布式防御体系的重要组成部分。本文以攻击源追踪技术中目前较主流的方法——随机包标记法为基础,提出一种新的攻击源追踪模型,对模型的核心功能和原理进行了详细设计和阐述,主要包括:1、模型主要功能分为包标记和攻击源追踪两大部分,受害者根据标记信息包中的标记信息,能追踪并找出离攻击源最近的路由器。2、为了解决随机包标记法中标记信息容易被下游路由器信息覆盖的问题,模型在标记算法上有所改进,即对标记过边信息的数据包不再重复标记,提高了追踪的速度。3、为了进一步提高追踪速度,模型在追踪方面丢弃了AMS算法中受害者须预先具备上游拓扑数据的强假设前提,且不需要繁杂的路径重构算法,通过与上游路由器的交互确认就能定位攻击源。4、从理论上分析得出标记算法的收敛性比AMS算法和改进后的AEMS算法更好,受标记概率和路径长度的影响也更小,比AMS算法和AEMS算法更稳定,确认过程的安全也容易得到保障,并通过仿真实验证实了稳定性方面的理论分析结果。本文主要从理论角度研究攻击源追踪模型,面对日益发展的DDoS攻击,攻击源追踪技术在追踪速度方面的要求也会越来越高。