Khi các cuộc tấn công bằng DDoS đi vào từ những khách hàng của nhà cung cấp hoặc các mạng khác, nó cần giành điều khiển lưu lượng nhanh chóng. Các nhà khai thác mạng chính có thể đã quen với định tuyến Blackhole hoặc sinkhole. Khái niệm liên quan đến các chính sách cấu hình trên mạng được ban hành khi lưu lượng được lựa chọn và được tham chiếu theo chính sách. Định tuyến Blackhole thường cho phép nhà cung cấp loại bỏ lưu lượng đến giao diện chức năng hủy bỏ/vô giá trị. Chính sách của BGP có thể tác động hoặc tạo ra định tuyến Blackhole bằng cách tính năng nhóm của BGP thích hợp trong chính sách BGP trên toàn bộ mạng.
Định tuyến Sinkhole rất hữu ích cho việc có cùng một mục đích và bản chất có khái niệm giống nhau, ngoại trừ lưu lượng được chuyển đến bộ phân tích. Điều này là rất giống với sự ngăn chặn hợp pháp. Tuy nhiên, với sinkhole, lưu lượng thường xuất phát từ một mạng khác hoặc nhiều mạng, và ý tưởng là để có sự hiểu biết hơn về nó, hoặc đơn giản chỉ để loại bỏ nó. Đây có thể là tấn công DDoS đến từ nhiều hệ thống tự trị tương tự như nhà cung cấp. Hình 2.5, 2.6, và hình 2.7 cho thấy một loạt các hoạt động này.
Chương II: Bảo mật trong mạng băng rộng
Hình 2. 5 Tấn công bằng DDoS đến một host
Hình 2.6 cho thấy lưu lượng tấn công DoS có thể bị chặn ở lối vào của mạng. Một cách để đạt được điều này là gán địa chỉ đích của luồng lưu lượng và quảng bá các tuyến này đến các router khác trong AS qua giao thức IBGP với một giá trị đặc biệt. Giá trị này chỉ thị các bộ định tuyến loại bỏ các lưu lượng khớp với địa chỉ đích đó.
Hình 2. 6:Lưu lượng Sinkhole đến host bị tấn công bằng cách loại bỏ địa chỉ nguồn của luồng lưu lượng DoS tại router biên
Chương II: Bảo mật trong mạng băng rộng
Hình 2. 7:Lưu lượng Sinkhole đến host bị tấn công