![](http://www.nsfocus.com/image/2-185.jpg)
1.首先黑洞是工作在桥模式下的,所以网卡是混杂模式
2.需要和路由器协同,也就是说发生攻击时,所有流量都必须重定向到黑洞集群.
从这两点我可以给出一个推理.呵呵....对不对,只能绿盟的人自己出来说话
![](https://i-blog.csdnimg.cn/blog_migrate/415ac8015c63fae5d667f9e77c5fb0cd.gif)
我们假设黑洞是N台做的集群,N台设备可以同时接收到所有的网络流量(这是拜网卡混杂桥模式的福气),每个黑洞都有自己的ID号(0~N-1).因为黑洞用的是syn proxy原理,所以如果不同的连接在不同的设备上处理会存在连接表同步的问题,性能会在同步状态时消耗.所以必须在建立连接前就区分出某连接到底应该由集群中的谁来处理.