基于DPDK的DDoS攻擊防御技術(shù)分析與實現(xiàn)

本文版權(quán)為《郵電設(shè)計技術(shù)》所有，如需轉(zhuǎn)載請聯(lián)系《郵電設(shè)計技術(shù)》編輯部

摘 要：針對當(dāng)前規(guī)模日益增大的分布式拒絕服務(wù)攻擊（DDoS），提出一種基于 Intel DPDK 的 DDoS 攻擊防御技術(shù)，對比分析其相對于傳統(tǒng) DDoS 防御技術(shù)的優(yōu)缺點。在此基礎(chǔ)上使用網(wǎng)絡(luò)測試儀進(jìn)行仿真測試，結(jié)果表明DPDK對于提升整體DDoS防御性能效果顯著。

關(guān)鍵詞：攻擊防御；DPDK；DDoS；數(shù)據(jù)包捕獲識別

doi：10.12045/j.issn.1007-3043.2020.01.014

前言

互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，運(yùn)營商4G技術(shù)的廣泛使用以及5G技術(shù)的快速演進(jìn)給人們帶來便捷的同時，也使網(wǎng)絡(luò)攻擊等違法行為的規(guī)模及數(shù)量迅速增長，分布式拒絕服務(wù)攻擊（DDoS）是最主要的威脅之一。其中網(wǎng)絡(luò)層SYN Flood和UDP Flood是流量最大的2種攻擊類型，并且 SYN Flood 大流量攻擊數(shù)量從 2018 年 1 月以來顯著增加。

防御 DDoS 攻擊的主流技術(shù)是流量清洗，其核心是采集流量并分析，傳統(tǒng)基于 Linux 內(nèi)核的流量清洗技術(shù)由于較大的網(wǎng)絡(luò)開銷和系統(tǒng)資源消耗導(dǎo)致其難以滿足當(dāng)前需求。針對這一趨勢，本文提出一種基于Intel DPDK 的 DDoS 攻擊防御方案，旨在當(dāng)前 Linux 內(nèi)核流量清洗技術(shù)的基礎(chǔ)上，達(dá)到更高的流量清洗能力，為DPDK技術(shù)應(yīng)用領(lǐng)域拓展以及DDoS攻擊防御性能提升提供新的思路。

點擊查看全文（PDF）>