ACC-Turbo實現(xiàn)于可編程交換機(jī)

背景/問題

在現(xiàn)在的DDoS攻擊中，攻擊流量不再是長而持續(xù)，而是轉(zhuǎn)為了短而高頻的波狀流量。波狀DDoS攻擊與常規(guī)DDoS攻擊相同，目的都為癱瘓服務(wù)節(jié)點或為癱瘓某條鏈路，但波狀DDoS與常規(guī)DDoS不同的是，波狀DDoS攻擊可以突破現(xiàn)有DDoS防御機(jī)制——ACC(Aggregate-based Congestion Control，基于聚合的擁塞控制機(jī)制)——的防御。ACC的工作流程如下所示：



在DDoS攻擊發(fā)生時，ACC會首先讓所有的包過FIFO隊列，當(dāng)擁塞產(chǎn)生丟包之后，數(shù)據(jù)面會向控制面報告包信息?？刂泼嫔系腁CC代理在接收到包信息之后會執(zhí)行兩個操作：包分析和包策略修改。這兩步加起來耗時一般需要幾分鐘的時間量級。

之后，ACC代理向數(shù)據(jù)面發(fā)布新的包處理策略，將分析出的若干數(shù)據(jù)流聚合，并限制該聚合流的速率，以此實現(xiàn)對DDoS攻擊的防御。

然而，ACC需要幾分鐘的響應(yīng)時間才能對特定流完成分析并進(jìn)行聚合與策略發(fā)布，這給了攻擊者可乘之機(jī)。攻擊者通過將攻擊流劃分成短而高頻的波狀攻擊流，使得每一波攻擊的持續(xù)時間約為一分鐘，導(dǎo)致ACC無法完成對DDoS攻擊的響應(yīng)，并在效果上成功實現(xiàn)DDoS攻擊。本文所訴即為如何設(shè)計并實現(xiàn)一個快速響應(yīng)的DDoS防御系統(tǒng)。本文使用可編程交換機(jī)實現(xiàn)了ACC-Turbo，一種快速響應(yīng)的DDoS防御系統(tǒng)，并進(jìn)行了評估。

設(shè)計

本文將ACC代理拆成了兩塊：流量聚合與策略發(fā)布。時間敏感的流量聚合的功能實現(xiàn)在交換機(jī)上，它能夠以線速率實現(xiàn)對于包粒度的流量聚合；而非時間敏感的策略發(fā)布功能實現(xiàn)在控制面上，負(fù)責(zé)接收聚合的信息并對每個不同的聚合分別發(fā)布不同的策略。ACC-Turbo的工作流程如下圖所示。

在ACC-Turbo中，流量會先進(jìn)入聚合器進(jìn)行聚合，并在聚合完成后進(jìn)入調(diào)度器執(zhí)行被分配的策略。由于聚合器是在交換機(jī)上實現(xiàn)的，因此它是一個在線的聚合器，并且能以線速率實現(xiàn)在包粒度上實現(xiàn)對于流量的聚合。這是ACC-Turbo響應(yīng)時間比ACC快的主要原因。聚合器的具體實現(xiàn)方式如圖所示。

在交換機(jī)中，ACC-Turbo將流量以(源ip，目的ip)為坐標(biāo)并映射到二維平面上，使用寄存器記錄每個聚合的坐標(biāo)上下限，使用布隆過濾器記錄流量的集合。當(dāng)新的包到達(dá)交換機(jī)時，ACC-Turbo會根據(jù)坐標(biāo)與各個聚合之間的曼哈頓距離來將包聚合到最接近的類中，實現(xiàn)對于流量的聚合。

性能評估

ACC-Turbo的評估如下圖所示。在使用波狀DDoS攻擊的時候，可以看到ACC-Turbo成功防止了鏈路被攻擊。在防御過程中，會有部分攻擊流量因為沒有成功聚合到正確的類而被放過，但總體占比較小并不會對鏈路產(chǎn)生較大影響；在響應(yīng)時間上，ACC-Turbo成功的在每個波狀流量來臨時及時的完成了響應(yīng)，它的響應(yīng)時間小于1秒，比當(dāng)前其他最前沿防御技術(shù)快了10倍。

個人觀點

個人覺得這是一個很有意思的事情，你有你的張良計，我有我的過墻梯。DDoS攻擊與防御算的上是最強(qiáng)之矛與最強(qiáng)之盾的角逐之一。ACC的設(shè)計者可能并沒有想到，嘿，DDoS還給我整出波狀攻擊的花活；而波狀攻擊的設(shè)計者可能也沒想到，嘿，ACC-Turbo居然用可編程交換機(jī)來快速聚合。個人很期待下一輪的DDoS的攻防角逐，畢竟ACC-Turbo依舊有反應(yīng)延遲，DDoS依舊有可能通過壓縮每波的持續(xù)時間來進(jìn)行攻擊，不知到時候防御方將如何應(yīng)對。

IXP scrubber: learning from blackholing traffic for ML-driven DDoS detection at scale

Matthias Wichtlhuber (DE-CIX), Eric Strehle(Brandenburg University of Technology), Daniel Kopp (DE-CIX), Lars Prepens (DE-CIX), Stefan Stegmueller (DE-CIX), Alina Rubina (DE-CIX), Christoph Dietzel (DE-CIX), Oliver Hohlfeld (Brandenburg University of Technology)

這篇文章來自麻省理工學(xué)院和瞻博網(wǎng)絡(luò)團(tuán)隊的研究者。它介紹了一種用于瞻博網(wǎng)絡(luò)MX系列路由器和交換機(jī)的可編程芯片組——Trio。

背景/問題

分布式拒絕服務(wù)（DDoS）攻擊是最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一，甚至危及最大網(wǎng)絡(luò)和服務(wù)的穩(wěn)定性?，F(xiàn)有的緩解服務(wù)范圍主要在互聯(lián)網(wǎng)邊緣進(jìn)行過濾，從而給網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成不必要的負(fù)擔(dān)。因此，我們提出了一種基于機(jī)器學(xué)習(xí)（ML）的系統(tǒng)IXP過濾器，用于在互聯(lián)網(wǎng)交換點（IXP）檢測和過濾互聯(lián)網(wǎng)核心的DDoS流量，這些交換點可以看到大量和各種DDoS。

設(shè)計

步驟1：引入規(guī)則標(biāo)簽，通過將單個流標(biāo)記為良性或惡意，通過網(wǎng)絡(luò)防火墻，操作員可以在WEB界面中驗證他們。步驟2：將平衡數(shù)據(jù)集的流以時間和目標(biāo)進(jìn)行分組，在相同時間內(nèi)。所有時間和目標(biāo)相同的流會被整合到一個數(shù)據(jù)集里。這些數(shù)據(jù)記錄會根據(jù)數(shù)據(jù)包平均大小，所有流的字節(jié)數(shù)還有數(shù)據(jù)包數(shù)進(jìn)行排序。如果我們發(fā)現(xiàn)數(shù)據(jù)記錄中至少有一個流被標(biāo)記為blackholed,那么我們可能會認(rèn)為這條記錄是DDOS。

性能評估

作者在5個IXP節(jié)點安裝了IXP Scrubber以測試其在時間穩(wěn)定性（重新訓(xùn)練時長間隔）、地理穩(wěn)定性（不同地區(qū)的模型是否通用）以及結(jié)果的可解釋性。分類排序：



實驗發(fā)現(xiàn)采用XGB模型可以獲得最高的正確率。同時對于運營者而言可讀的rule mining 方法也具有較優(yōu)的性能，應(yīng)證了在設(shè)計中將兩者結(jié)合的合理性。同時實驗表明不同IXP之間的模型可以通用（僅有較小性能損失），同時模型的有效性與重訓(xùn)練時長負(fù)相關(guān)（合理的重訓(xùn)練間隔在1月左右）。

個人觀點

IXP Scrubber將防御DDOS攻擊與機(jī)器學(xué)習(xí)相結(jié)合，具有較好的創(chuàng)新性。它作用場景在互聯(lián)網(wǎng)交換點,而在這些交換點可以看到大量和各種DDoS流量。IXP Scrubber中的XGB模型有最高的正確率，而rule mining模型則有較高的可讀性與較高的準(zhǔn)確性。但是文章對于流量過濾中的false positive情景及其對網(wǎng)絡(luò)有效傳輸產(chǎn)生的影響還需要進(jìn)一步說明。

SurgeProtector: mitigating temporal algorithmic complexity attacks using adversarial scheduling

Nirav Atre (Carnegie Mellon University), Hugo Sadok (Carnegie Mellon University), Erica Chiang (Carnegie Mellon University), Weina Wang (Carnegie Mellon University), Justine Sherry (Carnegie Mellon University)

這篇文章來自普渡大學(xué)的Vishal Shrivastav。它主要介紹了Thanos，可以增強(qiáng)現(xiàn)有的可編程交換機(jī)pipeline，支持對一組資源進(jìn)行可編程的多維過濾。

背景/問題

網(wǎng)絡(luò)中路由器內(nèi)置函數(shù)易受到算法復(fù)雜度攻擊（ACA）的攻擊。使用ACA，攻擊者只需要少量的網(wǎng)絡(luò)和計算資源生成數(shù)據(jù)報，就可以在目標(biāo)系統(tǒng)上消耗大量計算資源。給定足夠的請求速率，攻擊者可以使受害者過載，導(dǎo)致其丟棄來自服務(wù)的常規(guī)用戶的請求。與傳統(tǒng)的DoS攻擊相比，ACA以其效率和不易發(fā)現(xiàn)性，更加危險。

設(shè)計

Surgeprotector的主要功能是在network function中，加入一個WSJF(Weighted Shortest Job First)的調(diào)度算法，這個算法可以對DF(displacement factor)設(shè)置一個上限，同時他對其他的算法有很好的兼容性。同時WSJF不會對正常的用戶流量施加限制，即使用戶的報文出現(xiàn)了失序，也不會因為處理時間復(fù)雜度過高而被丟棄，因此可以將損失降到最低。

性能評估

實驗主要應(yīng)對兩種ACAs攻擊場景：1.向TCP Reassembler發(fā)送高度亂序的報文；2.發(fā)送最大報文長度限制的數(shù)據(jù)包，以消耗路由器在驗證報文正確性的時間。



實驗顯示SurgeProtector的策略相較默認(rèn)策略（FCFS)在吞吐量上有極大提高。

個人觀點

Surgeprotector的設(shè)計其實不算復(fù)雜，本質(zhì)上是將WSJF(Weighted Shortest Job First)算法應(yīng)用在路由器中易受攻擊的網(wǎng)絡(luò)函數(shù)（network function）中，使得復(fù)雜的任務(wù)不會無限占用資源。但是卻能夠收到很好的效果，主要在于它不會對正常的用戶流量施加限制。我認(rèn)為有一個可能的改進(jìn)是能否根據(jù)某種特征主動識別出疑似ACA的攻擊報文，并將其從任務(wù)隊列中移除，這樣可以進(jìn)一步提高效率。

Design and Evaluation of IPFS: A Storage Layer for the Decentralized Web

Dennis Trautwein (Protocol Labs & University of G?ttingen), Aravindh Raman (Telefonica Research), Gareth Tyson (Hong Kong University of Science & Technology (GZ)), Ignacio Castro (Queen Mary University of London), Will Scott(Protocol Labs), Moritz Schubotz (FIZ Karlsruhe – Leibniz Institute for Information Infrastructure), Bela Gipp (University of G?ttingen), Yiannis Psaras (Protocol Labs)

這是一篇來自哥廷根大學(xué)等各個地方的論文。他給出了IPFS(the InterPlanetary File System)的設(shè)計與評估。IPFS是一個去中心化的WEB平臺，用于文件存儲與傳輸。

背景/問題

近年來，網(wǎng)絡(luò)運營的整合越來越多。例如，現(xiàn)在大部分的網(wǎng)絡(luò)流量都來自于少數(shù)幾個組織，甚至微型網(wǎng)站也經(jīng)常選擇托管在已經(jīng)存在的大型云基礎(chǔ)設(shè)施上。為了應(yīng)對這一問題，“去中心化網(wǎng)絡(luò)”試圖更均勻地分配網(wǎng)絡(luò)服務(wù)的所有權(quán)和操作。本文給出了IPFS的設(shè)計與實現(xiàn)與評估。IPFS是目前最大同時也是最廣泛運用的去中心化的web平臺，已經(jīng)支持了數(shù)十個第三方應(yīng)用。

設(shè)計

IPFS的工作流程如下圖所示。對于提供者而言，他首先將文件傳入本地的IPFS中生成一個CID(Content Identifiers)，并將該CID發(fā)布給請求者并把CID傳入DHT網(wǎng)絡(luò)。DHT網(wǎng)絡(luò)會自動找到和該CID最接近的節(jié)點。在找到之后，提供者會與該節(jié)點一同存儲數(shù)據(jù)。對于請求者而言，他首先會將獲取到的CID傳入DHT網(wǎng)絡(luò)。DHT網(wǎng)絡(luò)會自動為其找到最接近的節(jié)點。當(dāng)請求者得到節(jié)點信息之后，即可通過該節(jié)點與提供者形成鏈路連接，開始下載。

性能評估

由于IPFS是一個已經(jīng)在使用的系統(tǒng)，因此文中給出了許多真實的用戶數(shù)據(jù)。例如，如果對IP進(jìn)行歸屬，可以發(fā)現(xiàn)大量的IP所屬都為亞馬遜、微軟等服務(wù)巨頭，佐證了當(dāng)前大部分的網(wǎng)絡(luò)流量都來自于少數(shù)幾個組織的說話。具體的性能評估方面，對于UE節(jié)點的請求80%可以在500ms內(nèi)處理完成，而對于所有請求類型來說，500%的請求可以在1s內(nèi)完成。

個人觀點

由于這是一個已經(jīng)使用中的系統(tǒng)，因此在設(shè)計上沒有給筆者十分亮眼的感覺，這可能是筆者的偏見。在論文中，由于是一個實際使用的系統(tǒng)因此有很多真實數(shù)據(jù)，值得一觀。

From Luna to Solar: The Evolutions of the Compute-to-Storage Networks in Alibaba Cloud

Rui Miao, Lingjun Zhu, Shu Ma, Kun Qian, Shujun Zhuang, Bo Li, Shuguang Cheng, Jiaqi Gao, Yan Zhuang,Pengcheng Zhang, Rong Liu, Chao Shi, Binzhang Fu, Jiaji Zhu, Jiesheng Wu, Dennis Cai, Hongqiang Harry Liu (Alibaba Group)

這是來自阿里巴巴group的文章。本文雖然是一篇文章，但是提出的是兩個系統(tǒng)。針對一個數(shù)據(jù)中心的計算集群和存儲集群而言，存在前端網(wǎng)絡(luò)(FN)和后端網(wǎng)絡(luò)(BN),本文的目的是優(yōu)化這兩個網(wǎng)絡(luò)的性能使整體性能更優(yōu)。第一個系統(tǒng)Luna同時優(yōu)化了FN和BN，但是使得SA成為瓶頸。第二個系統(tǒng)Solar將SA部分功能卸載至硬件，優(yōu)化了SA的性能。

背景/問題

一個EBS(Elastic Block Storage)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。對于EBS而言，計算集群和存儲集群通訊需要分別進(jìn)過前端網(wǎng)絡(luò)(CN)和后端網(wǎng)絡(luò)(BN)。前端網(wǎng)絡(luò)和后端網(wǎng)絡(luò)的性能對于I/O來講至關(guān)重要。由于前端網(wǎng)絡(luò)需要支持多種多樣的計算集群，而后端網(wǎng)絡(luò)需要具有良好的拓展性以及良好的錯誤處理，常規(guī)的TCP已經(jīng)不能滿足兩個網(wǎng)絡(luò)的需求。

設(shè)計

Luna：對于前端網(wǎng)絡(luò)來講，Luna使用一個用戶級別的軟件TCP來實現(xiàn)對不用計算集群種類的支持；而對于后端網(wǎng)絡(luò)來講，由于其存儲節(jié)點都是一致的，而任務(wù)也大致相同，因此可以采取不那么靈活的處理方案，在Luna中采用的處理方案是硬件RDMA。

在使用了Luna之后，對比之前的系統(tǒng)核方案，F(xiàn)N和BN的性能都得到了提升，但是存儲代理(SA)成為了瓶頸。Solar：Solar的核心想法如圖所示。由于在SA上數(shù)據(jù)都會走CPU，導(dǎo)致給數(shù)據(jù)總線過大的流量，使得網(wǎng)絡(luò)性能被限制在了SA的性能上。Solar通過將數(shù)據(jù)流的路徑卸到DPU上，并將控制面部署在CPU中，實現(xiàn)了數(shù)據(jù)流量與PCIe的脫鉤，使得SA的性能不再是系統(tǒng)瓶頸。

性能評估

相對于未使用Luna和Solar的情況下，Luna在FN的延遲上減少了80%，并且在BN的延遲上減少了50%。而在使用了Solar之后，SA的延遲相對于Luna減少了40%。

個人觀點

與會之后就覺得，啊，這不是廢話嘛！當(dāng)然，這是事后諸葛。Luna對兩個不同要求的網(wǎng)絡(luò)使用了不同的定制網(wǎng)絡(luò)，分別對其性能進(jìn)行優(yōu)化；而Solar在筆者看來，SA的物理位置有點像粘合器，將兩種不同的網(wǎng)絡(luò)接上，因此Solar對SA專門優(yōu)化，將SA的數(shù)據(jù)面由CPU卸載至RDMA，使得SA對系統(tǒng)性能的限制有所下降。Luna和Solar分別對EBS的不同部分進(jìn)行了優(yōu)化，是非常優(yōu)秀的工作。





審核編輯：劉清