摘要:中国互联网企业发展迅猛,大家耳熟能详的企业都对网络完全非常重视,投资到位,管理得当。但这些企业依然有一个非常头疼的问题,就是DDOS攻击。 |
在RFC5577中引入了Flow Spec技术:当网络检测到攻击的时候,可以触发产生一条流路由,即Flowroute。Flowroute不仅仅是一条普通路由,它具有普通路由的功能,同时携带包含IP5元组和tcp的控制字段等17个属性流信息以及对流处理信息,它可以借助MP-BGP广播到上游各路由器,上游路由器根据这条Flowroute的信息,自动产生一个动态过滤列表来过滤或限速攻击流量,达到防止DDOS攻击的目的。Flow Spec技术实际上为用户提供了一种功能强大、高效、灵活的防DDOS攻击的方法。
首先Flow Spec提供了多种功能的防DDOS攻击手法。传统的黑洞路由只能将去往特定目的地址段的流丢弃,不能区分正常流量和攻击流量;如果接入端配置访问控制列表,虽然能过滤攻击流,但用户带宽仍被占用,而且配置负载,部署时效性差;而与此相比Flow Spec提供了更精细的流匹配和对攻击的处理方式。
Flow Spec可以根据以下因素定义一个流:
Destination prefix数据包目的地址
Destination-port number TCP/UDP的目的端口号,比如:http(80)、ftp(21)、https(443)等等。
Desp number可以匹配数据包的QOS类型。
Fragment type分片标志位。比如:don’t-fragment、first-fragment、is-fragment、last-fragment、not-a-fragment等。
Icmp-code number ICMP代码类型。