对于在线企业特别是电信运营商数据中心网络 来说，分布式拒绝服务攻击（DDoS）的出现 无疑是一场灾难，对于它的有效防护一直是网 络应用中的一个难题。 一直以来DDoS是人们非常头疼的一个问 题，它是一种很难用传统办法去防护的攻击 手段，除了服务器外，带宽也是它的攻击目 标。和交通堵塞一样，DDoS已经成为一种网 络公害。

传统防护：有心无力

防止DDoS攻击，比较常用的有黑洞法、 设置路由访问控制列表过滤和串联防火墙安全 设备等几种

黑洞法：具体做法是当服务器遭受攻击之 后，在网络当中设置访问控制，将所有的流量 放到黑洞里面去扔掉。这个做法能够在攻击流 量过来的时候，将所有攻击拒之门外，保证对 整个骨干网不造成影响，但它同时也将正常流 量挡在了门外，造成服务器无法向外部提供服 务，中断了与用户的联系。

设置路由访问控制列表过滤: 这种方法企 业用户自己不去部署，而是由电信等服务提供 商对骨干网络进行配置，在路由器上进行部 署。现在路由器上的部署就是两种方式，一种 是ACL——作访问控制列表，还有一种方式是 做数据限制。这两种方式都可以归结为ACL， 它的最大问题是如果攻击来自于互联网，将很 难去制作面向源地址的访问列表，因为源地址 出处带有很大的随意性，无法精确定位，惟一 能做的就是就面向目的地址的ACL，把面向这 个服务器的访问控制量列出来，将所有请求连 接的数据包统统扔掉,用户的服务将受到极大 影响。另外一个缺陷就是在电信骨干上设置这 样的访问控制列表将给访问控制量管理带来极 大困难。而且采用这种方法还带有很大的局限 性，它无法识别虚假和针对应用层的攻击。

串联的防火墙安全设备:对付DDoS攻击， 还有一种是采用防火墙串联的方法，对于流量 已达几十个G的运营商骨干网络来说，由于防 火墙能力和技术水平所限，几个G的防火墙设 备很容易就会超载导致网络无法正常运行，而 且具有DDoS防护功能的防火墙吞吐量会更 低，即使是防火墙中的“顶尖高手”也是有心无 力，无法担此重任。另外采用这样的方法无法 保护上行的设备，缺乏扩展性，还有就是无法 有效的保护面向用户的资源。

解决之道在“智能”

从以上分析不难看，传统对付DDoS的方 法效率不高，而且还存在着一些无法克服和解 决的问题。智能化DDoS防护系统是由检测器 和防护器两部分构成。它具有使用方便，部署 简单，无需改变网络原先构架，实行动态防护 等优点，从根本上解决了DDoS的防护问题。

防护器采用并联方式连接在骨干网络当 中，对网络结构没有任何影响。当网络中有不 良流量对网络进行攻击时，检测器会向防护器 发出报警，这样DDoS防护器就能知道网络中 服务器被攻击的情况，攻击的目的以及来自哪 些地址。这时防护器立即启动开始工作，通知 路由器，将面向这些地址的流量全部都发送到 防护器，暂时接管了网络中的这些数据流量， 并对其进行分析和验证，所有非法恶意流量将 在这里被截获丢弃，而正常的流量和数据将被 继续传送到目的地