之前我们了解过台湾高防服务器是能对流量攻击进行清洗，那么它是怎么进行清洗攻击的呢？首先服务器需要

在用户购买的阈值内对攻击流量做清洗。针对4层DDoS攻击流量，比如：Syn Flood PPS达到8000的时候，启

动清洗，这就需要流量学习的技术。动态设定PPS。清洗模块是由集群组成，单台处理能力能达到40G，小包20

G能力，一般一个高防机房需要400G，一个机架柜搞定。针对7层的攻击流量，要测量一下nginx服务器大小，

一台服务器http处理能力大约8万QPS，4台4层转发lvs+8台7层转发nginx。两个机架柜。如果是https处理能力

大约在7000~8000QPS，一般加SSL加速卡。提升其单台服务器处理能力。一个集群处理7层流量大约60万QPS，

4层清洗能力大约400G。

台湾高防服务器的机房一般会分配几个C段高防IP端，这些IP就是给转发模块用的，我们假定它为IP1，A--> |正常

访问| B[IP1:TCP:2004]，B--> |4层转发| C[realIP1:TCP:10000]，C--> |4层转发| D[用户业务源站]转发模块在整个

高防系统中起到至关重要的作用，把用户的真实IP隐藏到转发系统后面，配合用户通过cname方式切换现有业务系

统到高防机房，同时把清洗后的正常流量转发给真正的用户业务系统。

所以台湾高防服务器的清洗流程具体如下：1、用户在控制台创建高防IP，系统会在剩余的高防IP列表中随机选一个

IP地址。2、然后通知lvs系统建立pool，通过pool建立虚拟IP，然后建立对应member IP（回源IP）。3、设置完以

上参数，需要等待用户把我们产生的随机域名设置到他们生产网站别名。4、启动高防，借助CDN的DNS系统，当联

通用户，根据不同线路解析到对应的高防机房，电信、移动也一样。5、不使用的时候可以切换到回源IP上。返回VIP

是否分配成功。

一般台湾高防服务器的清洗攻击要配合检测模块配合使用，我们先把检查模块使用NTA标识，清洗模块使用ADS标识。

检查模块负责：需要统计各个高防IP对进入高防机房的流量，传统检测手段，例如绿盟的NTA使用netflow和交换机配

合，主要是准确性差一些。建议还是使用大数据方式计算其流量（spark streaming 统计各种包的数量，聚合计算检

测），一旦出现流量超出通知核心交换丢弃目的IP所有流量。