摘要：中国互联网企业发展迅猛，大家耳熟能详的企业都对网络完全非常重视，投资到位，管理得当。但这些企业依然有一个非常头疼的问题，就是DDOS攻击。

第1页:完美解决互联网企业DDOS攻击问题 第2页:完美解决互联网企业DDOS攻击问题 第3页:完美解决互联网企业DDOS攻击问题 第4页:完美解决互联网企业DDOS攻击问题 第5页:完美解决互联网企业DDOS攻击问题 第6页:完美解决互联网企业DDOS攻击问题

　　
　　IDC通过两条专线连接到运营商网络（PE），一条是主用电路提供服务，另一条是清洗中心连接到运营商网络。当用户发现有攻击流量（如攻击TCP80端口）时，从用户端清洗中心向PE广播一条Flowroute，将流向服务器80端口的流量（不是所有数据流）重定向到清洗中心，经过清洗后，流量回送到服务器。如果用户受到的是ICM Pflood而导致主用电路拥塞，清洗中心可以广播一条Flowroute将所有ICMP协议的流量从主用电路上移走，重定向到清洗电路上，保证主用电路的带宽。
　　
　　其次Flow Spec技术具有高效性。路由器上Flowroute会自动产生一个过滤列表，这个列表将作用于转发表，对所有接口都有效。如今路由器端口密度成倍增加，甚至可以达到1个路由器有上百个端口，如果用普通访问控制列表来防止DDOS攻击，将是一个巨大的工程。而对Flow Spec技术来说，不需要运营商针对攻击做任何配置。从运营流程上来说，也不需要运营商经过各种增减配置的审批流程。
　　
　　当运营商和IDC达成某种信任关系，Flowroute可以通过BGP广播到运营商的所有边缘路由器（图中路由器A，路由器B），在边缘路由器上生成相同的Flowroute，每个边缘路由器都可以对攻击流进行阻止，如图3。这样分布式的攻击可以通过分布式防御手段来解决，真正做到在“千里之外”过滤DDOS攻击。

图3