摘要：中国互联网企业发展迅猛，大家耳熟能详的企业都对网络完全非常重视，投资到位，管理得当。但这些企业依然有一个非常头疼的问题，就是DDOS攻击。

第1页:完美解决互联网企业DDOS攻击问题 第2页:完美解决互联网企业DDOS攻击问题 第3页:完美解决互联网企业DDOS攻击问题 第4页:完美解决互联网企业DDOS攻击问题 第5页:完美解决互联网企业DDOS攻击问题 第6页:完美解决互联网企业DDOS攻击问题

　　一方面，DDOS攻击发生时，大量的流量直接从运营商一侧奔涌而入，瞬间就把被攻击企业的出口链路塞满，堵上门，网内纵使有再大能耐，也无可奈何。
　　
　　另一方面，互联网企业一般都会有公众可达的域名，攻击流量寻址非常容易，而运营商虽然也有提供给一般企业的流量清洗服务，但由于互联网企业的流量特征各异，运营商很难有一个固定的模式去精确区分互联网企业的正常业务流量和异常攻击流量。
　　
　　就拿IDC来说，它面临网络中各种各样的攻击,其中危害最大也莫过于DDOS攻击，对于此类攻击很多IDC只能依赖于硬件防DDOS防火墙来抵挡。而令IDC更为头疼的是，虽然在内部购买了各种各样的防DDOS攻击设备，大量的DDOS还是蜂拥而来，仍然挤占了出口带宽，影响了正常服务。对这种流量型的DDOS攻击IDC束手无策。如果有一种手段可以从上游接入端将DDOS攻击过滤或引流，甚至是在远端就能作有效的限制，达到拒DDOS攻击于千里之外，无疑是一种理想状态。
　　
　　解决途径
　　
　　其实这个貌似误解的难题，通过运营商服务产品的创新和新技术的采用，完全可以完美解决。
　　
　　在RFC5577中引入了Flow Spec技术：当网络检测到攻击的时候，可以触发产生一条流路由，即Flowroute。Flowroute不仅仅是一条普通路由，它具有普通路由的功能，同时携带包含IP5元组和tcp的控制字段等17个属性流信息以及对流处理信息，它可以借助MP-BGP广播到上游各路由器，上游路由器根据这条Flowroute的信息，自动产生一个动态过滤列表来过滤或限速攻击流量，达到防止DDOS攻击的目的。Flow Spec技术实际上为用户提供了一种功能强大、高效、灵活的防DDOS攻击的方法。
　　
　　也就是说，只要运营商接入到互联网企业的路由设备上采用了这个Flow Spec的技术，就可以把DDOS攻击流量化解于无形，避免企业遭受“堵门”的绝境，保护正常网络业务不受影响。
　　
　　但是，另外一个难题出现了：Flow Spec的处理策略是在可以识别异常流量的基础上制定的，运营商不可能针对每个互联网企业都做不同的策略定制，如何解决这个问题呢？
　　
　　其实，这个问题解决起来并不难，只是需要运营商在服务产品上做进一步创新。目前运营商的网络策略完全是运营商自己定制的，个性化的策略在实施和维护角度都貌似不现实。但是，如果运营商开放针对企业自身IP为目的地址的Flow Spec流量策略自定义业务，则既可以让企业自行定制针对自身的流量策略，又不会因此而影响其它企业的业务，既安全又兼顾个性，互联网企业的DDOS攻击问题因而可以得到完美解决。