Сервис FlowSpec обеспечивает гибкую фильтрацию на уровне профилей атаки и типов трафика.

В качестве дополнительной меры защиты от DDoS-атак на сети IX внедрен протокол BGP FlowSpec (RFC5575). Он позволяет отсечь трафик тех протоколов и/или типов пакетов, которые не используются в сети клиента, но используются при DDoS-атаке.

Трафик, указанный в правилах BGP FlowSpec, отбрасывается, а остальной проходит без изменений. Правила BGP FlowSpec формируются самим клиентом, а фильтрация трафика включается только, когда MSK-IX получает от него уведомление.

FlowSpec может осуществлять фильтрацию по следующим признакам: сетевой адрес узла отправителя, сетевой адрес узла получателя, сетевой протокол, транспортный протокол, порты источника и получателя в рамках сеанса (сессии), разрешенные (запрещенные) команды, разрешенные (запрещенные) протоколы прикладного уровня, размеры пакетов.

Для фильтрации трафика участнику IX нужно анонсировать свой unicast-маршрут или morespecific маршрута в сторону MSK-IX с собственным атрибутом nexthop и вместе с этим необходимое flow-правило.

Трафик фильтруется согласно flow-правилу и перенаправляется в сторону клиента по полученному unicast-маршруту.