本发明公开一种基于MPLS的DDoS攻击防御系统和方法，包括控制平面和数据平面，所述控制平面包括控制器，所述控制器包含溯源执行模块和策略执行模块，所述数据平面包括路由器，所述路由器中设立了源地址验证模块和标签交换模块，主要用来进行针对DDoS攻击的过滤和针对DDoS攻击的追踪，攻击过滤基于MPLS的信令协议LDP协议，根据LDP协议采取端口、跳数两个因子用来对数据包源地址的真实性进行验证，过滤掉伪造源地址的攻击数据包，攻击追踪基于MPLS的标签交换，设计溯源标签用于完成对数据包的追踪溯源。本发明借助MPLS技术，可以以较小的开销完成对数据包的验证与单包追踪，相比较传统方法，所需的存储空间、处理开销都大大减小。