DDoS攻击作为目前主流的网络恶意行为之一,对互联网的正常运行造成了严重的危害。本文的研究工作围绕DDoS攻击的检测和响应展开。检测工作基于网络边界路由器提供的流记录信息进行,并基于NBOS平台在CERNET全网环境中进行部署与验证。在此基础上,本文研究了对检测结果进行评价的方法,同时还借助SDN技术,研究了对DDoS攻击进行响应的工作。在DDoS攻击检测方面,论文首先结合当前学术角度和工业角度主流的检测思路给出了本文的检测标准。在此基础上,论文对NBOS系统原有SYNFlood检测逻辑进行分析,指出了其中的不足之处,提出完善方案并通过对比实验验证了改善后的成效。随后论文通过对UDP Flood攻击场景的分析,指出UDPFlood对单个主机以及对整个网段进行攻击的异同,设计了基于强度阈值和报文比阈值的检测算法,并在实际的网络环境中取得良好的检测效果。最后,针对攻击真实性验证的问题,本文提出了一个从假冒源地址、报文长度、反向散射报文强度以及攻击强度四个角度进行评价的方法,通过与实际的样例分析对比证明了方法的正确性与可行性。在DDoS攻击检测的基础上,论文进一步提出了根据DDoS攻击检测结果定位与追踪其背后的僵尸网络的研究思路。首先通过分析僵尸主机活动周期证明了研究思路的可行性,然后基于僵尸主机的通讯特征设计了两种定位控制命令报文与C&C控制器的方法。在此基础上,论文设计与实现了僵尸网络追踪系统(BTS)并在实际网络中成功定位多个C&C控制器和僵尸主机。被定位的控制器可以方便地利用SDN流表进行拦截。在DDoS攻击响应方面,除了对控制命令的拦截外,还讨论了对攻击流量的拦截,并给出了相应的面向SDN流表的拦截规则生成方法。在此基础上,论文基于一个基于SDN技术的应急响应系统(HYDRA)设计实现了 DDoS攻击拦截系统,该系统基于NBOS和BTS获取分析数据、生成拦截规则提交给HYDRA进行拦截。该系统在CERNET江苏省网边界的实测表明其可以有效拦截控制命令以及DDoS攻击流量。这个结果表明了基于SDN技术对DDoS攻击进行响应的可行性与实用性。