分布式拒绝服务(DDoS:Distributed Denial of Service)攻击是近年来出现的一种全新的拒绝服务(DoS:Denial of Service)攻击方式。由于其分布式的特性,使得DDoS攻击比传统的DoS攻击拥有更多的攻击资源,具有更强大的破坏力,而且更难以防范。目前对DDoS攻击的防御策略有基于攻击源端网络的、基于受害方网络的、基于中间网络(中间网络是指攻击数据包从源端网络发出到达受害方网络所经过的网络)的和基于分布式概念的。对于前三种策略,目前已有许多成熟的技术及系统,如基于攻击源端网络的D-WARD系统,基于受害方网络的入侵检测系统,基于中间网络的核心路由包过滤技术。分布式DDoS防御策略是通过一种体系构架使得防御节点分布在攻击源端网络、受害方网络及中间网络,并能够协调工作。但关于这类防御策略的研究比较少。本文首先对DDoS的攻击原理、攻击分类及攻击工具做了细致地分析,为抵御DDoS攻击防御方案的提出提供了基本的依据。然后从攻击发生前、攻击发生期间、攻击发生后三个角度对DDoS防御方法做了详尽阐述,分析比对了攻击源端网络、受害方网络及中间网络防御策略的优缺点。在此基础上提出了一种基于分布式策略的DDoS防御体系模型DDI(Distributed defense infrastructure)。DDI体系模型包含五类不同功能的防御节点,分别是检测节点、分类节点、速率限制节点、过滤节点及管理节点。这些节点分别部署在攻击源端网络、受害方网络及中间网络,通过协作地工作完成了DDoS攻