三、关于防御结构
    大规模DDoS攻击防御结构就像房屋建筑结构一样重要，如果只在ISP1、ISP2、ISP3的出口路由器X、Y、Z对数据包过滤，由于攻击流量大，会在出口处造成拥塞，导致该区域ISP网络与主干Internet网隔开，因此还需要构筑一个ISP内防御结构来均衡出口路由器负荷。
    1. 分布防御结构 
    如图1所示，要将ISP1的攻击流在出口路由器X过滤掉，由于出口路由器X的流量大、负担重，不能单独防御，而要在出口路由器周围形成一个防御带。在其出口路由器X之前将攻击流检测出来，在路由器X只对攻击流进行过滤，这在出口路由器周边形成了分布式防御结构，如图2a所示。在距出口路由器（Outgress Router, OR）的前几跳的路由器叫做周边路由器（Perimeter Router, PR）上使用流量检测器，将异常流量检测出来并打上标记，在OR上只对标记进行过滤，大大提高OR处理数据包的速度，合法数据包在OR就不会受影响。在这个结构中从PR到OR途径的最大跳数叫做防御半径R1，增加防御半径可以提高对大规模DDoS攻击的防御能力。PR与OR一起构成了攻击包的上行链路防御带。
    由于攻击数据包来源分布是不均匀的，如图1所示，在攻击源集中的区域ISP1就会形成攻击流，用图2a结构可检测出来；如在ISP2产生少量攻击数据包，无法检测出攻击流，漏掉此类少量攻击数据包，但是多个这样的攻击数据包，聚集到ISP3网络后对目标构成威胁。在用户入口路由器（Ingress Router, IR）上与源端相同的分布式防御系统过滤掉这些攻击流，如图2b所示，只将OR换成IR。PR与IR一起构成了攻击包的下行链路防御带。源端ISP防御系统漏掉的攻击包在目标ISP网络的IR上过可滤掉，由此构成了一个从源端与终端的互补防御结构，才能有效防御大规模DDoS攻击。
    图2b 目标区域ISP内分布联合防御结构
    2 . 源端与末端互补防御结构在一个区域ISP内的应用
    区域ISP所接入的用户类型多种多样，因此一个区域ISP既可能成为DDoS攻击的源端也可能成为攻击目标。为了防止区域ISP成为DDoS攻击源，需要布置图2a的源端防御结构；又为防止其成为攻击目标，需要布置图2b的末端防御结构。这样就将一个区域ISP网络划分为：1）与主干Internet相接的上行链路防御带，2）与用户相接的下行链路防御带，3）负责区域ISP路由的核心路由带，如图3所示。如果每个区域ISP网络都能布置这样的防御结构，不但能对大规模DDoS攻击有效防御，还能进行其他无效数据包在进入主干Internet之前得以验证，从而主干Internet速度会有很大提高。人们对主干Internet传输带宽需求越来越大，不久的将来，主干Internet带宽资源是远远不能满足用户需求，利用该结构的上行链路带的PR上使用相应的算法，就能对进入主干Internet数据包进行合理分布式控制，防止了所有用户的数据包拥塞主干Internet的可能。 图3 区域ISP内的整体防御结构

(责任编辑：adminadmin2008)