软件定义网络（SDN）通过集中控制来提升网络的灵活性、可编程性和资源管理能力。然而，这种集中化也使得网络容易受到分布式拒绝服务（DDoS）攻击的威胁。在DDoS攻击中，受损主机和恶意第三方应用程序会向控制器发送大量伪造请求，导致网络中断和潜在故障。现有文献缺乏能够有效应对基于受损主机和应用程序层的DDoS攻击的综合性解决方案。此外，目前还没有能够在源头直接拦截恶意流量的缓解机制。为了解决这一问题，我们提出了DDoSBlocker，这是一种与协议无关的轻量级DDoS防御机制，可用于防御SDN中的多层DDoS攻击。该机制由三个核心模块组成：第一个模块利用基于时间的映射技术和机器学习技术识别发起DDoS攻击的受损主机；第二个模块通过分析恶意第三方应用程序的应用程序ID（结合六种新颖的特征）来检测这些应用程序；最后一个模块实施缓解策略，在源头有效拦截恶意流量，同时将对合法网络操作的影响降至最低。DDoSBlocker被部署在Floodlight控制器中，并在多种网络环境中进行了有效性测试。实验结果表明，与现有方法相比，DDoSBlocker能够成功检测和缓解各种类型的DDoS攻击，并将误报率（FPR）降低了25%至53%。