摘要：中国互联网企业发展迅猛，大家耳熟能详的企业都对网络完全非常重视，投资到位，管理得当。但这些企业依然有一个非常头疼的问题，就是DDOS攻击。

第1页:完美解决互联网企业DDOS攻击问题 第2页:完美解决互联网企业DDOS攻击问题 第3页:完美解决互联网企业DDOS攻击问题 第4页:完美解决互联网企业DDOS攻击问题 第5页:完美解决互联网企业DDOS攻击问题 第6页:完美解决互联网企业DDOS攻击问题

　　
　　在RFC5577中引入了Flow Spec技术：当网络检测到攻击的时候，可以触发产生一条流路由，即Flowroute。Flowroute不仅仅是一条普通路由，它具有普通路由的功能，同时携带包含IP5元组和tcp的控制字段等17个属性流信息以及对流处理信息，它可以借助MP-BGP广播到上游各路由器，上游路由器根据这条Flowroute的信息，自动产生一个动态过滤列表来过滤或限速攻击流量，达到防止DDOS攻击的目的。Flow Spec技术实际上为用户提供了一种功能强大、高效、灵活的防DDOS攻击的方法。
　　
　　首先Flow Spec提供了多种功能的防DDOS攻击手法。传统的黑洞路由只能将去往特定目的地址段的流丢弃，不能区分正常流量和攻击流量；如果接入端配置访问控制列表，虽然能过滤攻击流，但用户带宽仍被占用，而且配置负载，部署时效性差；而与此相比Flow Spec提供了更精细的流匹配和对攻击的处理方式。
　　
　　Flow Spec可以根据以下因素定义一个流：
　　
　　Destination prefix数据包目的地址
　　
　　Destination-port number TCP/UDP的目的端口号，比如：http(80)、ftp(21)、https(443)等等。
　　
　　Desp number可以匹配数据包的QOS类型。
　　
　　Fragment type分片标志位。比如：don’t-fragment、first-fragment、is-fragment、last-fragment、not-a-fragment等。
　　
　　Icmp-code number ICMP代码类型。