正しくは、Dynamic Firewall Rule Propagation と言うらしい。複数の発生元からの DDoS 攻撃を防ぐ為、BGP を使って分散型トラフィックフィルタリングをするひとつの方法。

http://tools.ietf.org/wg/idr/draft-ietf-idr-flow-spec/

• • 今のところ実装をしているのは、Juniper (M/T series) と Arbor くらい。Cisco も Author だけど、まだ未実装。(Cisco Guard とかとぶつかるから？)
  • フィルタリングを目的としたルーティング情報が、Flow Route (JUNOS の実装では、inetflow.0) として識別をする事ができる
    • 動的フロールートを生成するには、arbor 製品との連携が必要
    • Juniper だけだと、DDoS が検知された場合に、設定を投入して静的にフロールートを作成する事が必要
  • source/destination address、source/destination port などのルール指定も可能
  • フローに対するアクションは、BGP 拡張 community で受け渡す
    • アクションは、drop だけじゃなく、rate-limit とかも可能