ACC-Turbo實(shí)現(xiàn)于可編程交換機(jī)

背景/問(wèn)題

在現(xiàn)在的DDoS攻擊中，攻擊流量不再是長(zhǎng)而持續(xù)，而是轉(zhuǎn)為了短而高頻的波狀流量。波狀DDoS攻擊與常規(guī)DDoS攻擊相同，目的都為癱瘓服務(wù)節(jié)點(diǎn)或?yàn)榘c瘓某條鏈路，但波狀DDoS與常規(guī)DDoS不同的是，波狀DDoS攻擊可以突破現(xiàn)有DDoS防御機(jī)制——ACC(Aggregate-based Congestion Control，基于聚合的擁塞控制機(jī)制)——的防御。ACC的工作流程如下所示：



在DDoS攻擊發(fā)生時(shí)，ACC會(huì)首先讓所有的包過(guò)FIFO隊(duì)列，當(dāng)擁塞產(chǎn)生丟包之后，數(shù)據(jù)面會(huì)向控制面報(bào)告包信息?？刂泼嫔系腁CC代理在接收到包信息之后會(huì)執(zhí)行兩個(gè)操作：包分析和包策略修改。這兩步加起來(lái)耗時(shí)一般需要幾分鐘的時(shí)間量級(jí)。

之后，ACC代理向數(shù)據(jù)面發(fā)布新的包處理策略，將分析出的若干數(shù)據(jù)流聚合，并限制該聚合流的速率，以此實(shí)現(xiàn)對(duì)DDoS攻擊的防御。

然而，ACC需要幾分鐘的響應(yīng)時(shí)間才能對(duì)特定流完成分析并進(jìn)行聚合與策略發(fā)布，這給了攻擊者可乘之機(jī)。攻擊者通過(guò)將攻擊流劃分成短而高頻的波狀攻擊流，使得每一波攻擊的持續(xù)時(shí)間約為一分鐘，導(dǎo)致ACC無(wú)法完成對(duì)DDoS攻擊的響應(yīng)，并在效果上成功實(shí)現(xiàn)DDoS攻擊。本文所訴即為如何設(shè)計(jì)并實(shí)現(xiàn)一個(gè)快速響應(yīng)的DDoS防御系統(tǒng)。本文使用可編程交換機(jī)實(shí)現(xiàn)了ACC-Turbo，一種快速響應(yīng)的DDoS防御系統(tǒng)，并進(jìn)行了評(píng)估。

設(shè)計(jì)

本文將ACC代理拆成了兩塊：流量聚合與策略發(fā)布。時(shí)間敏感的流量聚合的功能實(shí)現(xiàn)在交換機(jī)上，它能夠以線(xiàn)速率實(shí)現(xiàn)對(duì)于包粒度的流量聚合；而非時(shí)間敏感的策略發(fā)布功能實(shí)現(xiàn)在控制面上，負(fù)責(zé)接收聚合的信息并對(duì)每個(gè)不同的聚合分別發(fā)布不同的策略。ACC-Turbo的工作流程如下圖所示。

在ACC-Turbo中，流量會(huì)先進(jìn)入聚合器進(jìn)行聚合，并在聚合完成后進(jìn)入調(diào)度器執(zhí)行被分配的策略。由于聚合器是在交換機(jī)上實(shí)現(xiàn)的，因此它是一個(gè)在線(xiàn)的聚合器，并且能以線(xiàn)速率實(shí)現(xiàn)在包粒度上實(shí)現(xiàn)對(duì)于流量的聚合。這是ACC-Turbo響應(yīng)時(shí)間比ACC快的主要原因。聚合器的具體實(shí)現(xiàn)方式如圖所示。

在交換機(jī)中，ACC-Turbo將流量以(源ip，目的ip)為坐標(biāo)并映射到二維平面上，使用寄存器記錄每個(gè)聚合的坐標(biāo)上下限，使用布隆過(guò)濾器記錄流量的集合。當(dāng)新的包到達(dá)交換機(jī)時(shí)，ACC-Turbo會(huì)根據(jù)坐標(biāo)與各個(gè)聚合之間的曼哈頓距離來(lái)將包聚合到最接近的類(lèi)中，實(shí)現(xiàn)對(duì)于流量的聚合。

性能評(píng)估

ACC-Turbo的評(píng)估如下圖所示。在使用波狀DDoS攻擊的時(shí)候，可以看到ACC-Turbo成功防止了鏈路被攻擊。在防御過(guò)程中，會(huì)有部分攻擊流量因?yàn)闆](méi)有成功聚合到正確的類(lèi)而被放過(guò)，但總體占比較小并不會(huì)對(duì)鏈路產(chǎn)生較大影響；在響應(yīng)時(shí)間上，ACC-Turbo成功的在每個(gè)波狀流量來(lái)臨時(shí)及時(shí)的完成了響應(yīng)，它的響應(yīng)時(shí)間小于1秒，比當(dāng)前其他最前沿防御技術(shù)快了10倍。

個(gè)人觀點(diǎn)

個(gè)人覺(jué)得這是一個(gè)很有意思的事情，你有你的張良計(jì)，我有我的過(guò)墻梯。DDoS攻擊與防御算的上是最強(qiáng)之矛與最強(qiáng)之盾的角逐之一。ACC的設(shè)計(jì)者可能并沒(méi)有想到，嘿，DDoS還給我整出波狀攻擊的花活；而波狀攻擊的設(shè)計(jì)者可能也沒(méi)想到，嘿，ACC-Turbo居然用可編程交換機(jī)來(lái)快速聚合。個(gè)人很期待下一輪的DDoS的攻防角逐，畢竟ACC-Turbo依舊有反應(yīng)延遲，DDoS依舊有可能通過(guò)壓縮每波的持續(xù)時(shí)間來(lái)進(jìn)行攻擊，不知到時(shí)候防御方將如何應(yīng)對(duì)。

IXP scrubber: learning from blackholing traffic for ML-driven DDoS detection at scale

Matthias Wichtlhuber (DE-CIX), Eric Strehle(Brandenburg University of Technology), Daniel Kopp (DE-CIX), Lars Prepens (DE-CIX), Stefan Stegmueller (DE-CIX), Alina Rubina (DE-CIX), Christoph Dietzel (DE-CIX), Oliver Hohlfeld (Brandenburg University of Technology)

這篇文章來(lái)自麻省理工學(xué)院和瞻博網(wǎng)絡(luò)團(tuán)隊(duì)的研究者。它介紹了一種用于瞻博網(wǎng)絡(luò)MX系列路由器和交換機(jī)的可編程芯片組——Trio。

背景/問(wèn)題

分布式拒絕服務(wù)（DDoS）攻擊是最嚴(yán)重的網(wǎng)絡(luò)安全威脅之一，甚至危及最大網(wǎng)絡(luò)和服務(wù)的穩(wěn)定性?，F(xiàn)有的緩解服務(wù)范圍主要在互聯(lián)網(wǎng)邊緣進(jìn)行過(guò)濾，從而給網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成不必要的負(fù)擔(dān)。因此，我們提出了一種基于機(jī)器學(xué)習(xí)（ML）的系統(tǒng)IXP過(guò)濾器，用于在互聯(lián)網(wǎng)交換點(diǎn)（IXP）檢測(cè)和過(guò)濾互聯(lián)網(wǎng)核心的DDoS流量，這些交換點(diǎn)可以看到大量和各種DDoS。

設(shè)計(jì)

步驟1：引入規(guī)則標(biāo)簽，通過(guò)將單個(gè)流標(biāo)記為良性或惡意，通過(guò)網(wǎng)絡(luò)防火墻，操作員可以在WEB界面中驗(yàn)證他們。步驟2：將平衡數(shù)據(jù)集的流以時(shí)間和目標(biāo)進(jìn)行分組，在相同時(shí)間內(nèi)。所有時(shí)間和目標(biāo)相同的流會(huì)被整合到一個(gè)數(shù)據(jù)集里。這些數(shù)據(jù)記錄會(huì)根據(jù)數(shù)據(jù)包平均大小，所有流的字節(jié)數(shù)還有數(shù)據(jù)包數(shù)進(jìn)行排序。如果我們發(fā)現(xiàn)數(shù)據(jù)記錄中至少有一個(gè)流被標(biāo)記為blackholed,那么我們可能會(huì)認(rèn)為這條記錄是DDOS。

性能評(píng)估

作者在5個(gè)IXP節(jié)點(diǎn)安裝了IXP Scrubber以測(cè)試其在時(shí)間穩(wěn)定性（重新訓(xùn)練時(shí)長(zhǎng)間隔）、地理穩(wěn)定性（不同地區(qū)的模型是否通用）以及結(jié)果的可解釋性。分類(lèi)排序：



實(shí)驗(yàn)發(fā)現(xiàn)采用XGB模型可以獲得最高的正確率。同時(shí)對(duì)于運(yùn)營(yíng)者而言可讀的rule mining 方法也具有較優(yōu)的性能，應(yīng)證了在設(shè)計(jì)中將兩者結(jié)合的合理性。同時(shí)實(shí)驗(yàn)表明不同IXP之間的模型可以通用（僅有較小性能損失），同時(shí)模型的有效性與重訓(xùn)練時(shí)長(zhǎng)負(fù)相關(guān)（合理的重訓(xùn)練間隔在1月左右）。

個(gè)人觀點(diǎn)

IXP Scrubber將防御DDOS攻擊與機(jī)器學(xué)習(xí)相結(jié)合，具有較好的創(chuàng)新性。它作用場(chǎng)景在互聯(lián)網(wǎng)交換點(diǎn),而在這些交換點(diǎn)可以看到大量和各種DDoS流量。IXP Scrubber中的XGB模型有最高的正確率，而rule mining模型則有較高的可讀性與較高的準(zhǔn)確性。但是文章對(duì)于流量過(guò)濾中的false positive情景及其對(duì)網(wǎng)絡(luò)有效傳輸產(chǎn)生的影響還需要進(jìn)一步說(shuō)明。

SurgeProtector: mitigating temporal algorithmic complexity attacks using adversarial scheduling

Nirav Atre (Carnegie Mellon University), Hugo Sadok (Carnegie Mellon University), Erica Chiang (Carnegie Mellon University), Weina Wang (Carnegie Mellon University), Justine Sherry (Carnegie Mellon University)

這篇文章來(lái)自普渡大學(xué)的Vishal Shrivastav。它主要介紹了Thanos，可以增強(qiáng)現(xiàn)有的可編程交換機(jī)pipeline，支持對(duì)一組資源進(jìn)行可編程的多維過(guò)濾。

背景/問(wèn)題

網(wǎng)絡(luò)中路由器內(nèi)置函數(shù)易受到算法復(fù)雜度攻擊（ACA）的攻擊。使用ACA，攻擊者只需要少量的網(wǎng)絡(luò)和計(jì)算資源生成數(shù)據(jù)報(bào)，就可以在目標(biāo)系統(tǒng)上消耗大量計(jì)算資源。給定足夠的請(qǐng)求速率，攻擊者可以使受害者過(guò)載，導(dǎo)致其丟棄來(lái)自服務(wù)的常規(guī)用戶(hù)的請(qǐng)求。與傳統(tǒng)的DoS攻擊相比，ACA以其效率和不易發(fā)現(xiàn)性，更加危險(xiǎn)。

設(shè)計(jì)

Surgeprotector的主要功能是在network function中，加入一個(gè)WSJF(Weighted Shortest Job First)的調(diào)度算法，這個(gè)算法可以對(duì)DF(displacement factor)設(shè)置一個(gè)上限，同時(shí)他對(duì)其他的算法有很好的兼容性。同時(shí)WSJF不會(huì)對(duì)正常的用戶(hù)流量施加限制，即使用戶(hù)的報(bào)文出現(xiàn)了失序，也不會(huì)因?yàn)樘幚頃r(shí)間復(fù)雜度過(guò)高而被丟棄，因此可以將損失降到最低。

性能評(píng)估

實(shí)驗(yàn)主要應(yīng)對(duì)兩種ACAs攻擊場(chǎng)景：1.向TCP Reassembler發(fā)送高度亂序的報(bào)文；2.發(fā)送最大報(bào)文長(zhǎng)度限制的數(shù)據(jù)包，以消耗路由器在驗(yàn)證報(bào)文正確性的時(shí)間。



實(shí)驗(yàn)顯示SurgeProtector的策略相較默認(rèn)策略（FCFS)在吞吐量上有極大提高。

個(gè)人觀點(diǎn)

Surgeprotector的設(shè)計(jì)其實(shí)不算復(fù)雜，本質(zhì)上是將WSJF(Weighted Shortest Job First)算法應(yīng)用在路由器中易受攻擊的網(wǎng)絡(luò)函數(shù)（network function）中，使得復(fù)雜的任務(wù)不會(huì)無(wú)限占用資源。但是卻能夠收到很好的效果，主要在于它不會(huì)對(duì)正常的用戶(hù)流量施加限制。我認(rèn)為有一個(gè)可能的改進(jìn)是能否根據(jù)某種特征主動(dòng)識(shí)別出疑似ACA的攻擊報(bào)文，并將其從任務(wù)隊(duì)列中移除，這樣可以進(jìn)一步提高效率。

Design and Evaluation of IPFS: A Storage Layer for the Decentralized Web

Dennis Trautwein (Protocol Labs & University of G?ttingen), Aravindh Raman (Telefonica Research), Gareth Tyson (Hong Kong University of Science & Technology (GZ)), Ignacio Castro (Queen Mary University of London), Will Scott(Protocol Labs), Moritz Schubotz (FIZ Karlsruhe – Leibniz Institute for Information Infrastructure), Bela Gipp (University of G?ttingen), Yiannis Psaras (Protocol Labs)

這是一篇來(lái)自哥廷根大學(xué)等各個(gè)地方的論文。他給出了IPFS(the InterPlanetary File System)的設(shè)計(jì)與評(píng)估。IPFS是一個(gè)去中心化的WEB平臺(tái)，用于文件存儲(chǔ)與傳輸。

背景/問(wèn)題

近年來(lái)，網(wǎng)絡(luò)運(yùn)營(yíng)的整合越來(lái)越多。例如，現(xiàn)在大部分的網(wǎng)絡(luò)流量都來(lái)自于少數(shù)幾個(gè)組織，甚至微型網(wǎng)站也經(jīng)常選擇托管在已經(jīng)存在的大型云基礎(chǔ)設(shè)施上。為了應(yīng)對(duì)這一問(wèn)題，“去中心化網(wǎng)絡(luò)”試圖更均勻地分配網(wǎng)絡(luò)服務(wù)的所有權(quán)和操作。本文給出了IPFS的設(shè)計(jì)與實(shí)現(xiàn)與評(píng)估。IPFS是目前最大同時(shí)也是最廣泛運(yùn)用的去中心化的web平臺(tái)，已經(jīng)支持了數(shù)十個(gè)第三方應(yīng)用。

設(shè)計(jì)

IPFS的工作流程如下圖所示。對(duì)于提供者而言，他首先將文件傳入本地的IPFS中生成一個(gè)CID(Content Identifiers)，并將該CID發(fā)布給請(qǐng)求者并把CID傳入DHT網(wǎng)絡(luò)。DHT網(wǎng)絡(luò)會(huì)自動(dòng)找到和該CID最接近的節(jié)點(diǎn)。在找到之后，提供者會(huì)與該節(jié)點(diǎn)一同存儲(chǔ)數(shù)據(jù)。對(duì)于請(qǐng)求者而言，他首先會(huì)將獲取到的CID傳入DHT網(wǎng)絡(luò)。DHT網(wǎng)絡(luò)會(huì)自動(dòng)為其找到最接近的節(jié)點(diǎn)。當(dāng)請(qǐng)求者得到節(jié)點(diǎn)信息之后，即可通過(guò)該節(jié)點(diǎn)與提供者形成鏈路連接，開(kāi)始下載。

性能評(píng)估

由于IPFS是一個(gè)已經(jīng)在使用的系統(tǒng)，因此文中給出了許多真實(shí)的用戶(hù)數(shù)據(jù)。例如，如果對(duì)IP進(jìn)行歸屬，可以發(fā)現(xiàn)大量的IP所屬都為亞馬遜、微軟等服務(wù)巨頭，佐證了當(dāng)前大部分的網(wǎng)絡(luò)流量都來(lái)自于少數(shù)幾個(gè)組織的說(shuō)話(huà)。具體的性能評(píng)估方面，對(duì)于UE節(jié)點(diǎn)的請(qǐng)求80%可以在500ms內(nèi)處理完成，而對(duì)于所有請(qǐng)求類(lèi)型來(lái)說(shuō)，500%的請(qǐng)求可以在1s內(nèi)完成。

個(gè)人觀點(diǎn)

由于這是一個(gè)已經(jīng)使用中的系統(tǒng)，因此在設(shè)計(jì)上沒(méi)有給筆者十分亮眼的感覺(jué)，這可能是筆者的偏見(jiàn)。在論文中，由于是一個(gè)實(shí)際使用的系統(tǒng)因此有很多真實(shí)數(shù)據(jù)，值得一觀。

From Luna to Solar: The Evolutions of the Compute-to-Storage Networks in Alibaba Cloud

Rui Miao, Lingjun Zhu, Shu Ma, Kun Qian, Shujun Zhuang, Bo Li, Shuguang Cheng, Jiaqi Gao, Yan Zhuang,Pengcheng Zhang, Rong Liu, Chao Shi, Binzhang Fu, Jiaji Zhu, Jiesheng Wu, Dennis Cai, Hongqiang Harry Liu (Alibaba Group)

這是來(lái)自阿里巴巴group的文章。本文雖然是一篇文章，但是提出的是兩個(gè)系統(tǒng)。針對(duì)一個(gè)數(shù)據(jù)中心的計(jì)算集群和存儲(chǔ)集群而言，存在前端網(wǎng)絡(luò)(FN)和后端網(wǎng)絡(luò)(BN),本文的目的是優(yōu)化這兩個(gè)網(wǎng)絡(luò)的性能使整體性能更優(yōu)。第一個(gè)系統(tǒng)Luna同時(shí)優(yōu)化了FN和BN，但是使得SA成為瓶頸。第二個(gè)系統(tǒng)Solar將SA部分功能卸載至硬件，優(yōu)化了SA的性能。

背景/問(wèn)題

一個(gè)EBS(Elastic Block Storage)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。對(duì)于EBS而言，計(jì)算集群和存儲(chǔ)集群通訊需要分別進(jìn)過(guò)前端網(wǎng)絡(luò)(CN)和后端網(wǎng)絡(luò)(BN)。前端網(wǎng)絡(luò)和后端網(wǎng)絡(luò)的性能對(duì)于I/O來(lái)講至關(guān)重要。由于前端網(wǎng)絡(luò)需要支持多種多樣的計(jì)算集群，而后端網(wǎng)絡(luò)需要具有良好的拓展性以及良好的錯(cuò)誤處理，常規(guī)的TCP已經(jīng)不能滿(mǎn)足兩個(gè)網(wǎng)絡(luò)的需求。

設(shè)計(jì)

Luna：對(duì)于前端網(wǎng)絡(luò)來(lái)講，Luna使用一個(gè)用戶(hù)級(jí)別的軟件TCP來(lái)實(shí)現(xiàn)對(duì)不用計(jì)算集群種類(lèi)的支持；而對(duì)于后端網(wǎng)絡(luò)來(lái)講，由于其存儲(chǔ)節(jié)點(diǎn)都是一致的，而任務(wù)也大致相同，因此可以采取不那么靈活的處理方案，在Luna中采用的處理方案是硬件RDMA。

在使用了Luna之后，對(duì)比之前的系統(tǒng)核方案，F(xiàn)N和BN的性能都得到了提升，但是存儲(chǔ)代理(SA)成為了瓶頸。Solar：Solar的核心想法如圖所示。由于在SA上數(shù)據(jù)都會(huì)走CPU，導(dǎo)致給數(shù)據(jù)總線(xiàn)過(guò)大的流量，使得網(wǎng)絡(luò)性能被限制在了SA的性能上。Solar通過(guò)將數(shù)據(jù)流的路徑卸到DPU上，并將控制面部署在CPU中，實(shí)現(xiàn)了數(shù)據(jù)流量與PCIe的脫鉤，使得SA的性能不再是系統(tǒng)瓶頸。

性能評(píng)估

相對(duì)于未使用Luna和Solar的情況下，Luna在FN的延遲上減少了80%，并且在BN的延遲上減少了50%。而在使用了Solar之后，SA的延遲相對(duì)于Luna減少了40%。

個(gè)人觀點(diǎn)

與會(huì)之后就覺(jué)得，啊，這不是廢話(huà)嘛！當(dāng)然，這是事后諸葛。Luna對(duì)兩個(gè)不同要求的網(wǎng)絡(luò)使用了不同的定制網(wǎng)絡(luò)，分別對(duì)其性能進(jìn)行優(yōu)化；而Solar在筆者看來(lái)，SA的物理位置有點(diǎn)像粘合器，將兩種不同的網(wǎng)絡(luò)接上，因此Solar對(duì)SA專(zhuān)門(mén)優(yōu)化，將SA的數(shù)據(jù)面由CPU卸載至RDMA，使得SA對(duì)系統(tǒng)性能的限制有所下降。Luna和Solar分別對(duì)EBS的不同部分進(jìn)行了優(yōu)化，是非常優(yōu)秀的工作。





審核編輯：劉清