分布式拒绝服务(Distributed Denial of Service,DDoS)攻击已经成为网络服务甚至是网络本身的一个巨大威胁。它利用TCP/IP协议的缺陷和网络带宽资源的有限性,向受害端恶意发送无用的数据包,从而大量占用受害端系统和带宽资源使其无法再继续响应正常用户的请求。首先介绍了分布式拒绝服务攻击的特点、现状以及发展趋势,分析并探讨了分布式拒绝服务攻击的各种防御措施。并通过对现有防御方法的学习与研究,指出现有方法的优点与不足。同时针对DDoS对中间网络造成的危害,深入地分析了ISP(Internet Service Provider)参与防御的必要性及其积极意义。在总结了DDoS防御的难点之后,提出了一种分布式的、全网协作式的防御系统模型(Distributed and Cooperated Defense Model, DCDM)。该系统包括三个功能组件：管理组件、检测组件以及响应组件。系统的目标是通过在网络中部署不同功能组件,充分利用源端、中间网络和目标端三处在防御过程中的优势,来取得一个较好的防御效果。系统采用多层检测机制,目标端的检测系统始终处于激活状态,监控目标网络的数据流量。发现异常数据包时,负责向管理组件发送告警信息。管理组件收到告警信息后激活ISP网络中部署的分布式检测系统,这里采用的是分布式变点检测I(Distributed Change-point Detection,DCD)算法。DCD算法不仅可以检测出网络中是否存在攻击,而且还可以通过分析各个路由器的流量构造出攻击聚集树(Change-Aggregation Tree,CAT),系统就可以根据聚集树更加有针对性地实施响应措施。论文对算法做了些改进,加入权值机制,对攻击数据包相对集中的DDoS攻击更敏感。系统的响应措施是基于路由器的,主要方法是限流法,限流法是系统的主要响应措施。限流法的拥塞控制机制(Aggregate-based Congestion Control, ACC)在设计上存在一定的缺陷,它能够对路由器上的数据流进行速度限制,却无法正确区分合法数据包和攻击数据包。鉴于此,提出了一种统计攻击流特征的方法,可以很好弥补ACC的不足,实验数据证明,此机制有很好的防御效果。