拒绝服务攻击(Denial of Service,DoS)是网络攻击中一种常见的攻击方式,主要用于破坏服务的可用性。目前,DoS攻击的防御方法并没有较大的突破,传统的防御技术根据防御阶段主要可以分为攻击预防、攻击检测、攻击溯源和攻击响应。当前DDoS攻击的规模不断扩大且更加的具有隐蔽性,因此传统的防御技术并不能有效的解决大规模的DDoS。现有的解决方案的主要是使用分流的方式,将过载的流量分流到额外的服务器中。本文对DoS攻击的相关研究展开了较为详细的论述,从现代网络体系架构的复杂性、局限性等的角度分析了多种DoS攻击技术和DoS防御技术。在此基础上,着重描述了针对Smurf、ACK Flood等几种主流攻击进行防护优化的系统结构和功能设计,提出了基于报文接收速率的Smurf攻击防护方法,基于TCP连接状态的SYN Flood攻击和ACK Flood攻击防护方法,基于报文发送速率的UDP Flood攻击防护方法,以及基于白名单的SYN Cookie技术,并且实现了基于多核网络处理器的嵌入式防御系统。本文使用2000年的DARPA入侵检测评估数据集对系统进行了测试,证实了本文提出设计方案的有效性。本文借鉴了TOE(TCP Offload Engine)和TSO(TCP Segmentation Offload)等技术的思想,提出了一种创新的DDoS防御技术实现方案:即利用网卡与日俱增的计算能力,把防御方案部署在网卡中的系统架构,将原本运行于主机端的防火墙部分功能卸载到网卡中执行。多核网络处理器具有很好的报文处理能力,本文将其实现为主机端的网卡,并在网卡嵌入式编程实现DDoS防御功能。相比在上层系统级实现,中间环节少,代码处理效率高。该防御系统具有明显优势,在实现DDoS防御的同时减轻端系统的负担,使其有更多空闲的CPU、内存和带宽资源响应其他服务请求。此外,防御系统不受上层系统软件和应用软件影响,可部署到所有平台。