DDoS(分布式拒绝服务)攻击是利用TCP/IP协议漏洞进行的一种简单而致命的网络攻击，由于TCP/IP协议的这种会话机制漏洞无法修改，因此缺少直接有效的防御手段。大量实例证明利用传统设备被动防御基本是徒劳的，而且现有防火墙设备还会因为有限的处理能力陷入瘫痪，成为网络运行瓶颈。另外，攻击过程中目标主机也必然陷入瘫痪。

被DDoS攻击时的现象：

被攻击主机上有大量等待的TCP连接；

网络中充斥着大量的无用的数据包，源IP地址为假；

制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；

利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求；

严重时会造成系统死机。

针对上述的需求，网宿科技采用思科的基于Guard和Detector的DDoS防御方案，为IDC用户提供抗DDOS攻击的流量清洗服务，它能够抵御当今最复杂、最隐蔽的攻击，有效保护企业的网络环境。流量清洗服务能够自动、快速的消除DDOS对您网络的攻击威胁，并根据攻击情况出具受攻击报告。示意图如下：

开始的时候Guard不对被保护对象进行保护，没有任何数据流流经Guard，此时Guard为离线设备。Detector收到交换机通过端口镜像过来的通往被保护对象的数据流后，通过算法分析和策略匹配，发现被保护对象正受到攻击；

Detector建立起到Guard的SSH连接，通知Guard对被保护对象进行保护；

Guard通过BGP路由更新告知与它相连的BGP对等体，路由器将目的地为被保护对象的数据流发往Guard。目的地不是被保护对象的数据流则正常流动，不受影响；

通过策略匹配和算法分析，识别正在进行的攻击类型，并对数据流进行处理（识别伪造源地址、过滤非法数据包、速率限制等），在此阶段，攻击数据被清除；

被过滤过的数据流被再次发回与它相连的BGP对等体（或者是该对等体下游的其它三层设备），因此，合法的数据流连接仍然正常工作。