1.2.2 无法准确界定DDOS

　　当寻求传统DDoS解决方案受挫后，高端网络运维部门转而在网络设备管理维护体系中进行尝试，采取的方式通常包括在网络路由设备中增加静态ACL、手动调整QoS流量整形策略等。但这似乎由一个极端走向了另一个极端，完全忽略了一个现实问题——以DDoS、蠕虫为代表的异常流量本质上是一种人<—>人对垒的网络安全斗争，而非人<—>机之间刻板的流量管理配置。这主要是由于以下原因造成的：

　　* ACL列表不可能事前得到异常流量特征。DDoS流量的源IP地址是极为分散的(这主要取决于Botnet)，目的IP地址也并不固定(这是因为DDoS的真正目标并不在于目的IP所指向的网络单元，而是迫使DDoS流经的骨干链路遭受“池鱼之灾”即可)，因此静态ACL过滤无法准确命中DDoS流量；
　　*
　　* 异常流量无法通过简单的流量统计数字进行识别。一个简单的例子可以说明： 同样是10K bps/s的ICMP ECHO流量，在5G bps/s背景负载情况下并不能说明什么问题，而对于5M bps/s的背景负载则几乎等同于一次Flooding攻击。因此，通过人工调整的流量整形策略无法在链路瞬息万变的各种流量比例关系中快速定位异常流量的发生；
　　*
　　* 网络设备难以识破异常流量的伪装。部分DDoS、蠕虫、P2P通信具备良好的伪装能力，能够混杂在正常业务应用中而使网络设备无法通过传输层以下的表象特征进行识别，这种应用层伪装能力已远远超出网络设备的能力范围。
　　*
　　由此可见，高端网络骨干链路在应对异常流量威胁时所需要的既不是脆弱的传统DDoS过滤设备，也不能是简单粗暴的网络层ACL访问控制机制。高端网络需要的是一种既可保持网络系统健壮性又能提供较高检测命中率的新颖思路。