分布式拒绝服务（Distributed Denial of Service,简称DDoS）攻击如今是Internet上的头号威胁，已经给Internet造成了极大的经济损失，严重影响了网络应用向更深、更广的方向发展。由于Internet具有开放性，网络上存在大量的自我防御较差、安全性较低的主机，这使得攻击者可以利用大量傀儡机对攻击目标实施猛烈攻击。DDoS攻击与传统的DoS攻击相比，具有更强的破坏力、更好的隐蔽性、更难防御和追踪。　　目前，针对DDoS攻击的防御策略有很多，主要分为四类：基于源端网络的防御策略、基于中间网络的防御策略、基于受害端网络的防御策略及分布式防御策略。前三类研究的较多、较为成熟，已有很多成熟的技术和产品，在一定程度上可以抑制DDoS攻击，降低DDoS攻击造成的损失，但是单点部署时，防御效果并不理想，具有较高的误报率和漏报率。分布式防御策略运用分布式技术，部署覆盖源端网络、中间网络及受害端网络的全局防御方法，能够达到较好的防御效果。然而，该御策略研究较少，目前还不成熟。　　针对上述情况，基于前人研究的基础上，本文做了四个方面的工作：一是，对DCD方案中构造CAT树算法进行了改进，通过修改数据结构，添加状态信息字段，能够防止“无效”节点加入，降低了CAT树的复杂度，提高了有效性；二是，提出了基于动态门限的带权CAT分布式检测方案（简称WCAT方案）。该方案基于DDoS定义、引入权重概念、采用动态门限设定机制，克服了DCD方案存在的系统开销大、漏报率高、门限设置不灵活等缺陷，提高了检测效率和检测的精度；三是，基于以上两点，设计了覆盖源端、中间网络及受害端网络的分布式检测与防御模型，阐述了该模型的防御思想及防御过程，并详细讲述了各个模块的功能及理论实现；四是，仿真实验验证。本文运用OPNET网络仿真工具模拟了包交换过程，验证了基于源端主机的检测方法的可行性和正确性。　　为了验证方案的性能，做了大量的相关实验，并进行了理论分析。分析结果表明该方案是可行的、正确的，能够有效防御DDoS攻击。