[本文摘要]

提出了将路径追溯和路径标识有机结合的设想，即在追溯出的上游节点有效识别过滤攻击分组。具体设计了一个新的分组标记和过滤方案。以受害主机所在自治域的边界路由器为界，之前的沿路节点标记路径信息，边界节点标记入口地址信息。受害主机可从到达的攻击分组中提取并还原相关信息，然后在域边界的攻击入口实施标识过滤。给出了完整的标记、共享存储和过滤方案，基于权威因特网真实拓扑的大规模仿真实验表明，方案防御效果较好，有效减轻了受害主机和目标域内上游链路遭受的攻击影响。