中国IDC产业联盟讯在近日举行了“2011中国数据中心建设与运维高层论坛（第二届）”。目前数据中心面临的几类安全威胁中，DDoS攻击危害巨大，雅虎、CNN、亚马逊、eBay、FaceBook和微博等网络巨头都曾遭其攻击。

    在过去10年进行总结七大互联网事件，包括2000年的雅虎，CNN，亚马逊和eBay等大量知名网站都遭受DDoS攻击。近些年新出现的网络巨头与应用，如2009年8月7号FaceBook和微博也难逃此劫。当然，国内互联网、通信界遭受DDoS攻击事件也屡屡出现。上个月，国内一个较知名的企业也受到了DDoS的攻击。

    对于DDoS的防控，，一是通过异常流量分析设备解决异常流量可视性问题；二是通过过滤设备解决异常流量可控性的问题。

    首先通过流量监控技术对网络流量进行监控，通过一些指纹技术会发现异常流量。那么，当发现DDoS攻击的时候就会发出一个流量迁移的通告。这个流量牵引目的地就是异常流量过滤设备。那么，异常流量过滤设备过滤完之后，就把通过相关网络协议再回注到网络中来，整体通过可视化可控化来解决数据中心面临的DDoS攻击。

    在防护中采用高效算法来保证关键环节，比如说高性能特征匹配。由于面临DDoS攻击的时候流量非常大，这个性能不仅包括过滤性能，同时发现性能也非常高。

    所以，有高性能的特征匹配可以非常快的发现异常流量，也就是DDoS攻击。同时有多种防护算法来抗DNS攻击，抗网站攻击，抗CC攻击等。

    值得一提的是，组网特性不影响用户正常使用，首先从组网上看，正常的情况下是旁路的。只是在发现了可疑流量的时候，有检测设备向网络设备发一个牵引通道，这时候从逻辑上防护设备才相当于串到了网络里。第二，就是牵引可疑流量，因为IDC驻守带宽越来越宽了，一定要把可疑流量都分离出来，这从可操作性上和成本上都是非常高的。

    那么在可疑流量被牵引之后，可发现攻击流量清晰，最后将回注一个正常流量。

  “现在DDoS规模越来越大，在进行DDoS攻击防护的时候，防御能力是一个非常关键的考虑。如果通过集群技术，处理能力上是非常足够的。”