分布式拒绝服务攻击是网络中潜在的威胁和破坏性最大的一种黑客攻击方式。近几年来,分布式拒绝服务攻击防御技术研究成为了网络安全领域的热点问题。在当前条件下,如何保障关键应用技术的不间断服务,尤其是如何抵御分布式拒绝服务攻击,具有相当重要的意义。在分布式拒绝服务攻击中,攻击者通常采用IP欺骗技术来隐藏其身份,针对这种类型的攻击,本文提出了一种新的包标记计划来保护TCP服务。每个到达边界路由器的数据包都携带一个标记,标记由两部分组成:源IP地址和由中间路由器填写在IP首部的16比特标识域的路径标识符。在客户完成TCP三次握手之后,边界路由器动态地将路径标识符和客户对应的IP地址添加到数据库。携带有效标记的数据包可以获得准许到达目的地。标记证明了该数据包是一个已存在的TCP连接的一部分。更重要的是,一个有效的标记证明了数据包首部的信息是正确的。这就使过滤设备能以更高程度的确定性识别流量。实验证明这种新的包标记计划能有效地防御IP欺骗分布式拒绝服务攻击,并且可以防御反射式分布式拒绝服务攻击。围绕基于路径标识的攻击包区分和过滤技术,本文提出了改进路径标识方案。参与标记的路由器不是像已有的路径标识方案中那样静态地插入1或2位的本地标识,而是先根据待转发数据包中的TTL值推算其已经过的跳数,相应地生成不同长度的本地节点标记,然后插入到数据包中。从而最大程度上实现了对标记域空间的有效利用,而且路径标识的区分程度更高。基于真实因特网的大规模拓扑数据的仿真实验表明,本方案可以有效地区分和过滤攻击包,当攻击路径和合法路径彼此交错程度较大时和已有的其它路径标识方案相比性能有明显提高。