本文提出了一种名为Jaqen的新型系统，利用可编程交换机（如P4交换机）在数据平面实现高吞吐量的DDoS攻击检测与缓解。传统基于软件的DDoS防御方案受限于CPU处理能力，难以应对超大规模流量攻击；而纯硬件方案又缺乏灵活性。Jaqen通过将检测和缓解逻辑直接部署在可编程交换机上，在保持线速处理（数十Tbps）的同时，实现了细粒度的流量分析和精准的恶意流量过滤。系统设计包括三个关键组件：1）轻量级的特征提取模块，利用交换机的寄存器、哈希和计数器资源实时计算数十种流量特征（如包速率、熵值、源IP分布等）；2）基于决策树的在线检测模型，通过硬件流水线实现低延迟分类；3）自适应缓解策略，支持动态更新过滤规则以响应攻击变化。在基于P4软件交换机（BMv2）和硬件交换机（Tofino）的原型评估中，Jaqen在100Gbps线速下能够检测多种DDoS攻击（如SYN Flood、DNS放大、UDP反射），误报率低于5%，且对正常流量的影响小于1%。实验还表明，Jaqen对加密流量攻击同样有效（利用元数据而非净荷）。该工作为数据平面可编程安全提供了新的范例，适合网络运维和研究人员借鉴。