1.一種用于DDoS攻擊的取證方法，其特征在于，包括如下步驟：

步驟1，報告異常信息表；

當客戶端檢測到僵尸網絡IRC行為時，如果該行為涉及未報告的IRC頻道，則將C2信息表提交至服務器端；如果客戶端檢測到新的DDoS攻擊，則將攻擊信息表提交至服務器端；

步驟2，信息表分析；

在服務器端使用C2信息表分析算法和DDoS攻擊電子證據分析算法對電子證據進行分析；

所述C2信息表分析算法具體包括如下步驟：

（1）將處于同一個IRC頻道中的Botnet看作一個基本單位；

（2）系統為每一個認定出來的Botnet建立一個Botnet對象；

（3）當僵尸主機報告加入了一個新的IRC頻道時，把該頻道加入到準IRC頻道列表中，同時產生一個對應的舉報向量，向量中的分量為布爾型的變量，初始化時均為假，每個分量對應Botnet中的一個僵尸主機，若該僵尸主機報告了加入該條新的IRC頻道，則對應分量設置為真；

（4）對于報告上來的每一次攻擊，建立一個攻擊列表，表中的元素即為攻擊的ID對每一個攻擊建立的相應計數器向量，向量中的分量為Long型的變量，初始化為0，若Botnet的某個僵尸主機發送了攻擊報告，則給相應的計數器分量加一；

所述DDoS攻擊電子證據分析算法具體包括如下步驟：

（1）客戶端發動的DDoS攻擊，若兩次攻擊中受害主機的IP相同，則這兩次攻擊屬于同一組DDoS攻擊；

（2）創建Attack對象表示Botnet的DDoS攻擊，每個Attack對象包括一個ID、被攻擊服務器的IP以及一個參與攻擊的Botnet列表；

（3）當服務器接到一個攻擊報告，把該攻擊信息表與攻擊列表中的元素比較，若該攻擊不屬于任何Attack，則新建一個Attack對象；若該攻擊屬于某個Attack，則對該Attack的節點進行融合，融合的具體做法是：在該節點所屬的Botnet中，若存在與該Attack對應的攻擊向量，則把攻擊向量的對應分量設置為真；若不存在對應的攻擊向量，則生成攻擊向量，然后再把攻擊向量對應的分量設置為真；若攻擊向量中為真的分量大于某個閾值，則把該Botnet ID加到Attack參與攻擊的Botnet列表中；

（4）攻擊的規模為參與攻擊的Botnet列表中與該Attack對應的攻擊向量中為真分量的個數；

步驟3，FMS分片數據包標記；

使用三種技術來減少每個數據包的存儲需求，通過重新加載IP數據包來監視空間；

所述三種技術包括：

（1）用兩個路由器IP地址的異或值來表示一條邊，該值表示了兩個路由器之間的聯系，具體包括：

a、當一個路由器需要標記一個數據包時會把自己的IP地址a寫入數據包；

b、接下來的路由器b看到數據包的distance域為0，從中得出a和路由器b的地址并將它們異或運算后再次把運算值寫入到數據包中，稱為路由器a和b組成的邊；

c、除了距離被攻擊者僅一跳的那個路由器轉發的樣本不進行修改外，其它的都進行修改，使被攻擊者收到的樣本的邊總是包含兩個相鄰的路由器間的異或值；由于這一性質，所以在重構攻擊路徑時，被攻擊者能夠通過對下游路由器發來的樣本進行編碼，得到它的上一級邊；重復此求解操作，一步一步向上回溯，直到找出第一級路由器；

（2）利用分段技術，把32位的邊信息分成ｋ個小的不重疊的片段；

（3）采用一個簡單的誤差檢驗方式：一個路由器A的32位IP地址和一個32位的hash(A)進行交叉，地址長度增加到64位。