分布式拒绝服务(Distributed Deny of Service, DDoS)攻击是目前威胁最大危害最严重的Internet主要攻击手段之一。DDoS攻击是基于TCP/IP协议当初在设计上的缺陷和Internet的开放性而产生的。现如今研究DDoS攻击防御具有非常重要的作用和意义,一直以来它都是网络安全领域的重要研究课题。近年来虽然很多研究者提出了一些防御DDoS攻击的新技术技术新方法,这些方法虽然可以解决一些问题,但也具有一些不可避免的局限性。本文首先介绍了DDoS攻击原理,根据TCP/IP协议和网络流量特征对DDoS攻击进行简单分析和分类,并介绍了当前国内外DDoS攻击防御方法的成果和现状。经过比较和分析发现:目前的大部分防御方案普遍存在精确度低、漏报率高、计算复杂度高、资源消耗大、响应延迟大、防御范围小等缺点。由此提出一种基于自治域边界网关的DDoS攻击防御方案和概念。其次,在详细分析了路由牵引技术、源IP地址追踪技术、远程触发黑洞路由技术和源地址单播路径反向验证技术的基础上,针对其DDoS攻击防御缺乏实时性和计算复杂性,分别提出了改进的实时双层过滤净化网络、基于AS的自适应概率包标记、基于源和地址的路径验证方法,弥补了传统方案的一些不足,以较小的计算复杂度和较小的资源消耗过滤数据包,并快捷迅速地追踪到攻击源。然后,基于改进的技术方案的组合提出基于边界路由器的DDoS攻击防御方案,并实现其模型,在NS2上对该模型进行仿真测试。针对各个模块的测试结果进行验证性分析,并对防御模型整体进行测试分析。测试结果表明,该新型防御模型能较好的过滤攻击数据流,并能以较少的资源消耗快速追踪到攻击源,从而有效地防御DDoS攻击。最后,对本文的主要工作进行总结,针对新的DDoS攻击防御模型的优缺点指出将来需要进一步完善的工作。