互联网应用在日益发展的同时也带来了安全性问题,网络攻击的多样性与危害性不断升级,尤以DDoS为甚,这些攻击直接劣化了网络性能、业务可用性和服务质量,对ISP、ICP、客户都造成了极大影响。从目前DDoS攻击防御的经验来看,通过在运营商网络中部署防御策略,尽量从网络源头切断攻击流量,其效果是比较有效的。文章提出了利用Flow-Spec技术实现DDoS攻击防御,并分析了该方案的原理特点及部署方式,与现有方式相比,该方案比黑洞方式更为合理有效,比流量清洗方式更为简单而易于实现。

• 单位
  中国电信股份有限公司广州研究院