以毒攻毒，看网络黑洞的妙用

　　在远古时代，年年的洪荒给人类带来无穷的灾难。所有先辈的领导者都采用强行堵截的方式，试图阻挡洪水的蔓延，可结果却是：他们都失败了！

　　直到大禹担当治水重任，他一反前辈截流的常理，利用引流的方式将洪水导入九州土地，将洪水消于无形。

　　网络黑洞引起数据包丢失，其可能造成的重大损失是无法估量的。不过，反过来看，网络黑洞丢数据包的特性我们却可以进行善用以造福人群。

早期的反流量攻击方法：智能截流

　　上世纪末所有在IDC担当过相当时间网络技术支持的朋友，估计都曾被同一类攻击闹得灰头土脸过，那就是流量攻击。

　　起初，大家反击流量攻击采取的方式是：关闭核心路由器部分可能被流量攻击原理利用的功能模块，或直接在核心路由器上增加具备强大分析与过滤功能的模块。

　　这些手段在刚开始还取得了一定的成效：

　　关闭核心路由器的部分功能，可以避免一部分流量攻击手段失效，不过这种方式却被黑客利用来进行窃取机密数据，而当越来越多基于TCP/IP技术的流量攻击手段出现时，这种方式所造成的更大安全隐患已经无法被网络管理者所接受；

　　在核心路由器上增加强大的分析与过滤功能模块，按理说还是不错的方式，不过这样一来，势必大大占用核心路由器的处理资源，以致核心路由器因同时处理庞大的路由信息而无法进行正常而基本的快速路由传输工作，从而造成网络数据拥堵，当网络管理者为核心路由器极速下降的工作效率懊恼时，这种堵截流量攻击的方式也宣告失败。

成熟的反流量攻击方法：黑洞疏流

　　时间并不算长，聪明的网络安全技术人员很快想到一个办法：规划网络框架时，核心路由器的功能不变，只是在防火强内增加一个或级联路由器(大型机房采用)并设置网络黑洞，在这个位置的路由器，仅仅完成简单的非智能化路由功能，着重应用黑洞技术对进入内网的流量进行智能分析，并将非法流量在这一层通过黑洞技术永久抛弃(大型机房里的级联路由器还将把非法流量向下一级的路由器中进行疏导，以减少单个路由器的流量承压)。

　　随着时间的推移，攻守双方的能力也随着时间的推进继续增长。在这期间，作为攻方的流量攻击手段日增、流量大小愈升，而作为守方的网络管理者，则在快速改进疏导策略之外，还得益于网络产品处理能力的逐渐提升，可以在核心路由处理性能大幅提升的前提下，增加更多的智能化常规非法流量过滤功能模块，同时在防火墙内的黑洞上针对性地进行二次分析与过滤，将疏堵两种方式结合以更好地防守流量攻击。

　　黑客攻防里有一句同时适合攻守双方的原始法则：以毒攻毒！黑洞技术的应用也即由此而来！

　　时间推进到几年后的现在，黑洞仍然是网络部署中的必备环节。此时，大家都已经认识到：黑洞技术在网络中的应用，对于流量攻击的防守，实在是具有举足轻重的作用。