随着计算机网络和通信技术的飞速发展,网络安全问题也不断涌现。拒绝服务攻击问题就是一类非常严重的网络安全问题。拒绝服务攻击者利用各种手段造成网络服务的中断或服务质量的下降,导致网络用户的不便甚至危及到网络基础设施,带来极大的经济危害和社会影响。拒绝服务攻击的种类层出不穷,其中很多基于大流量洪水攻击的方法在现有的入侵检测以及路由器的主动队列管理方法下很容易被发现及预防。慢速拒绝服务(Low-rate Denial of Service,LrDoS)攻击是近期出现的一种新型的拒绝服务攻击方法,不同于洪水型拒绝服务攻击,其平均流量小,很难被现有的入侵检测及路由器上的主动队列管理(Active QueueManagement,AQM)算法所发现。这种攻击的出现导致网络安全问题的进一步加剧。对于此类攻击的防御方法的研究已经为研究者所关注。慢速拒绝服务攻击利用TCP中的超时重传机制中使用的定时器存在常量下限这一特点,攻击者使用很小的攻击代价获得链路上的TCP数据流吞吐量的下降,使TCP发送端的拥塞窗口停留在一个非常低的水平,甚至可能出现持续超时的情况。相对于高流量拒绝服务攻击而言,慢速拒绝服务攻击的持续时间很短,攻击数据流可以伪装成合法数据流,单纯使用流量特征匹配的方法检测慢速拒绝服务攻击很容易发生误警。而目前应用较广泛的RED、RED-PD,CHOKe等AQM算法都无法有效的过滤慢速拒绝服务攻击流量。这对于当前网络中使用的最广泛的TCP协议是一个非常严重的问题。从网络研究的开始阶段就使用的非常广泛的网络流量模型是基于到达数据包满足泊松分布这一假设的,在此基础上可以使用马尔可夫链等理论对于网络的性能进行分析。对于具有慢速拒绝服务攻击的网络,我们同样可以使用随机过程相关理论分析慢速拒绝服务攻击下正常网络数据流的整体性能。本文首先分析了慢速拒绝服务攻击的原理以及其对网络造成影响的本质原因。在分析过程中使用了模拟实验和实际测试的方法分析了TCP Reno,TCPNewreno,FAST TCP等不同拥塞控制协议受慢速拒绝服务攻击的影响程度。通过分析和实验,指出慢速拒绝服务攻击出现的本质原因是TCP与UDP协议的不公平性以及TCP协议超时重传机制的时间量程与攻击者所需要花费的攻击时间量程的不对称。另外通过对可以防御慢速拒绝服务攻击的AQM特点的总结,提出一些防御此类攻击的思路。其次,分析了慢速拒绝服务攻击下正常网络数据流的整体性能,使用半马尔可夫链分析慢速拒绝服务攻击下链路上TCP发送端拥塞窗口的变化。再次,为了防御慢速拒绝服务攻击,在对ACK数据包IP包头做出较小改动的基础上提出了两种动态调整策略即时调整超时重传定时器,以提高慢速拒绝服务攻击下TCP数据流的性能。进一步讨论了在使用动态调整策略时可能遇到的问题并作出了相应的解决方案。实验结果证明,这类动态调整策略可以在出现慢速拒绝服务攻击的时候很大程度的提升TCP数据传输的性能,同时在没有慢速拒绝服务攻击出现时不会对网络性能产生影响。最后,设计了一种可以根据网络拥塞情况调整拥塞窗口的拥塞控制协议,在发现由于UDP数据流量导致的拥塞时保持拥塞窗口,在UDP流量减少后继续传输数据,从而避免了基于UDP拒绝服务攻击对TCP数据传输的影响。模拟实验结果表明,此方法可以有效的减轻慢速拒绝服务攻击对TCP传输性能的影响。