当运营商和IDC管理者达成某种信任关系,Flow route可以通过BGP广播到运营商的所有边缘路由器(图中路由器A,路由器B),在边缘路由器上生成相同的Flow route,每个边缘路由器都可以对攻击流进行阻止,如图。这样分布式的攻击可以通过分布式防御手段来解决,真正做到在“千里之外”过滤DDoS攻击。
最后,Flow Spec技术具有极好的灵活性。运营商没有IDC对DDoS的感知能力强,也不可能随时为每个IDC增加或减少配置。只有IDC才真正了解自己的流量行为。利用Flow Spec技术IDC可以很灵活的控制对DDoS攻击的防御策略。
Flow Spec技术是否会给运营商带来管理上的问题?Flow Spec技术实际上是通过BGP将Flow route广播给上游路由器。运营商可以通对增加BGP路由过滤来限制IDC只能针对分配给IDC的地址段发布Flow route。
Flow Spec技术不仅仅可以给IDC、ICP、企业网络带来显而易见益处,对于运营商来说也是一种非常行之有效的防止DDoS攻击的利器。
在如今竞争日益加剧的局面,运营商只要想用户所想急用户所急,即使就是最传统的网络接入业务,也还是有创新余地。而且这个业务的最佳用户,是如日中天的互联网企业,而开通此业务对运营商的成本增加微乎其微。
