分布式拒绝服务(DDoS)攻击是如今Internet面临的最严峻的威胁之一,DDoS通过发送大量的网络包来耗尽攻击目标的计算和通信资源。一个攻击者可以使用攻击工具可以让成千上万的机器一起对一个攻击目标。如何防御DDoS攻击成为普遍关心的问题。本文在深入分析现有的DDoS防御策略的基础上,设计了一个可行的DTM防御模型,模型分为三个部分:检测、源追踪和弱化攻击。在深入分析DDoS攻击原理和特点的基础上,对DDoS攻击的常用工具作了论述,并解读了TFN2K源代码。在分析拒绝服务攻击检测的各种方法后,针对DDoS攻击的特点,在模型中应用了模式匹配、异常检测和系统资源监控三种技术。模式匹配用于检测已知攻击,异常检测则能检测未知攻击,而系统资源监控从资源的角度发现攻击,三种技术配合使用,能够尽早发现攻击,然后触发追踪机制。在检测到DDoS攻击之后使用Backscatter Traceback、黑洞路由和下水道技术三者的结合来快速而准确地定位攻击源。检测到攻击后,黑洞路由用于吸收所有报文,而下水道路由器则收集ICMP unreachable报文,用以分析找到攻击源。为了将攻击的伤害下降到最低,在充分分析了过滤技术之后,提出了采用三元组的过滤规则,而且尽可能使过滤靠近攻击者。模型的设计基于分布式的网络环境,对于三个部分使用的具体技术可以进行扩充,扩展性良好。将模型应用于对目前流行的SYN Flood攻击的防御实例中,实践表明,该模型是可行的。