伴随互联网世界的飞速发展，各企业在享受迅捷的网络所带来的用户流量的同时，安全隐患却无处不在。针对IP发起的DDoS(分布式拒绝服务攻击)攻击就是其中的一种，它们利用合理的服务请求来占用大量的服务器带宽资源，把网站的合法访客堵在外面，从而得不到服务器正常响应。严重降低了服务器的可用性。

　　流量牵引的必要性

　　针对这种恶意流量攻击的行为，最初防御DDoS攻击都是根据防火墙上的抗DDoS模块来实现硬防，当面对超大规模的流量攻击，防火墙自身构造的瓶颈变得显而易见。之后，人们采用在网络中串联进抗DDoS攻击设备来抵抗更大规模的流量攻击，但与此同时，这些增加设备也相当于增加了潜在的故障点。

       而流量牵引技术通过疏导流量，有效提高网络抗DDoS的容错性。经过流量牵引后到达抗DDoS设备上的流量经过分流后必然有所减弱，流量越小抗DDoS攻击设备分析和防御能力就会越强。当针对server1的攻击流量到达抗DDoS设备的时候，我们面临两种可能，一种是能够防御的住，一种是防御不住。如果防御的住，那当然就不存在问题了。如果防御不住呢? 最多会造成一个地址不能被访问，将攻击所能造成的危害降低到最小，不至于因为一个点的攻击而导致整个网络不能通信，这个代价相比而言是最小的。

　　流量牵引的拓扑原理

　　当网络中存在攻击时，服务器遭受到了DDoS攻击，Probe监测到攻击行为后，目标为服务器1的流量将被转发到抗DDoS设备，这些流量到达抗DDoS设备经过有目的的检测、甄别、过滤，其余的合法流量将继续被转发到R2。而此时其它的流量仍然保持原来的路线，即直接从R1转发到R2。从而这些攻击流量和正常流量实现分离，防御性能高的服务器设备被用来专门抵抗DDoS攻击，而多数正常流量尽可能的不受到攻击的干扰，实现正常的访问。

　　流量牵引技术的实现

　　流量牵引拓扑从路由器到内部网络变成了双链路，而且又增加了一个新设备——Probe。假设服务器1正在受到攻击。Defender是在“黑洞”的基础上发展起来的，在已有技术的基础上加强了对应用层DDoS的防御。

        由于对针对服务器1的攻击流量被切换到了Defender上，外网到服务器2和服务器3的访问将不受到干扰，攻击的压力落在了Defender和服务器1上。这样我们就把被攻击事件限制在了局部。通常DDoS攻击目标明确，而且是持续不断的不定期的骚扰。必要的时候也可以通过Probe的监测功能来追踪攻击来源，Probe可以收集到整个网络的netflow信息，通过对这些信息的分析，判断出攻击流量进入网络的入口。层层追踪锁定攻击来源的范围。

　　DDoS防御需要一系列设备的联合部署、分工合作，同时也需要专业的技术人员进行合理架构和防攻判断，从而实现最大的防御效果和最轻微的网络影响。