因此 ，。

7、该 方式无法 实现精细颗粒的安全防范 ， 无法针对那些低速率的 DDo S 攻击进行防范 ， 同样也无法针对那些瞄准 应用层的 DDoS 作出响应 。
流量清洗的方案需要根据 Detector 设备的告警 ， 不断调整路由设置 ， 并在流量到达清洗设备时重新分析 这些攻击流量 ， 因而会出现对攻击的滞后响 应 ， 往往存在几分钟甚至几十分 钟的延时响应 ， 此时目标系统已经经历了长时间的拒绝服务 ， 造成了无可挽回的 损失 。
而且由于攻 击判断和攻 击清洗设备是割裂的 ， 两者对 DDoS 的攻击的判断标准完全不一致 ， 可能导致 NetFlow 设备对一些突发的正常流量作出 错误判断 ， 引起清洗设备误报 ， 而从阻断正常应用数据 ， 此类错误对目 。

8、标系统的损害尤甚于网 络攻击 。
（2）从DDoS 发展趋势角度：DDoS 攻击是非法的 ， 随着各类立法和对网络攻击打击力度的加大 ， 攻击者在发起攻击之前总会对目标系统做一定的了解 ， 会选择攻击成本比较低、比较隐 蔽的攻击方式 ， 以期避免大面积的攻击影响 。
另一方面 ， 运营商也通过在网络设备上通过关闭不必要的服 务、在网络边 界配置 A CL 进行限制、对设备 的登陆访问进行限制、对访问 用户进行统一认证和登陆管理、在边界的路由协议进行安全认证和防地址欺 骗等措施加 强了接入用户的安全控制 ， 海量的虚假数据包的攻 击也变的越来越 难发起 。
攻击者相信目标系统远比运营商基础架构要脆弱 ， 因而海量、无差别 的 DDoS 。

9、 攻击正在被攻 击者慢慢摒弃 ， 转而采用某些小流量、消耗目标 系统资源的 DDoS 攻击 ， 或者采用 针对性强的应用层 DDoS 攻击 。
例如采用多连接、小流量的 HTTP Flood 攻击 ， 此类攻击很容易导致目标 Web 服务器由于无法响 应大量的正常 HTTP 请求而拒绝服务、而这 些攻击数据包在 NetFlow 看来是正常的或是无害的 ， 流量清洗设备也不会对此类攻击作出响应 。
目前来看 这些被流量清洗 设备所忽略的攻 击手段正在成 为 DDoS 攻击的主流 。
（3）从运营商应用防护角度：简单地从数据流的 传输路经来分析 ， 运营商应用数据流会流 经接入网络、城域网和骨干网三个 层面 ， 而这三个网络的服务要 。

10、求是不一 样的 ， 因此 ， 对 DDoS 的安全防范实际上又分成了骨干网安全防范、城域网安全防范和接入安全防范三个层次 。
A 、骨干网安全防范特点骨干网作 为全省或全国各种数据包的 传输干道 ， 具有网络结构复杂、业务类 型众多、业务流量大的特点 ， 在骨干网 层面很难实现精确的安全防范 ， 因此 ， 在骨干网 层面通常采取粗 颗粒的针对海量网络层 DDoS 的过滤 ， 阻断采用消耗网络传输带宽 的 DDoS 攻击 ， 从而避免消耗网络带宽的 DOS/DDOS 攻击进入城域网 络 ， 因此流量清洗的方案可以在 这骨干网层面解决非 业务目标的海量B、城域网安全防范特点城域网络是各种业务存在和大量用 户接入的基地 ， 与骨干网络相比较 ，。

11、城域网络与各种电信业务系统的联系相对更加密切 ， 它具有以下特点：（1）真正的业务系统寄宿地 。
大量的 ISP/SP业务服务器都是存在于城域网内 ， 能否保证这些业务系统正常工作将大大影响 电信行业的实际收入 。
（2）终端用户的接入点 。
城域网络为 企业、政府和各种用户 提供互联网的接入 ， 能否为这些 VIP 用户提供免受攻 击的环境是决定能否吸引住这些关键用户的主要因素 。
（3）非穿透性网 络和网络结构相对简单 。
城域网络 作为一个边缘 AS 域 ， 不存在穿越 AS 的数据流 ， 到达城域网的数据流其目的地址都是在城域网内 ， 因此被保 护的对象更加明确 。
基于以上特点 ， 城域网的安全防范的重点是如何 为网内的各种 业务系统 。

12、和关键用户提供相对细致的安全防范功能 ， 保 证这些关键业务系统免遭各种攻 击的侵害 。
这就要求在城域网 层面的 DDoS 防范要关注从 L3 直到 L7 层的全面防御 ， 除了实现对海量 DDoS 攻击数据包的侦测、过滤 之外 ， 也要能够对那些数据量不大 ， 但是对某一特定应用系统造成影响的 DDoS 攻击 ， 例如城域网的 DNS replyFlood 攻击 。
而这种要求是骨干网 层面的基于 NetFlow 的粗颗粒解决方案无法 实现的 ， 再加上城域网内进行 NetFlow 采集的可能性 较少 ， 因此采用的基于 NetFlow 的“流量清洗中心”解决方案是不完全适用于城域网的 。

稿源：(未知)

【傻大方】网址：/a/2021/0816/0023744960.html

标题：流量|流量清洗是DDoS终极防范手段么概要( 二 )