科学研究

基于P4的DDoS攻击防御系统 P4-based DDoS Attack Defense System

2023年02月17日

成果简介(300-500字)

DDoS攻击通常都是黑客通过使用几千台或者几万台肉鸡IP每秒像目标主机IP发送几个G或者更大的流量。本项目基于P4可编程数据平面的特点,采用最新可编程芯片技术,定制完成DDoS攻击防御系统。由于可编程交换机比高度优化的数据包处理软件提供更高的数量级吞吐量,因此一个交换机可能会替换百台服务器,从而大大降低了性能资本成本和运营支出,从而显著降低每容量的资本成本和运营费用。而且,这样的交换机支持使用P4专用语言来进行有状态的数据包处理,该语言可以以用户定义的逻辑在交换机流水线中以太比特线速处理数据包,这些优势对于DDoS防御特别有市场价值。

基于P4可编程交平面DDoS检测的好处:

●Tofino可以实现任何类型的攻击下都具有更高可扩展性和线速处理能力,同时最大限度地减少片上内存和资源的消耗。

●DDoS检测可以在Tofino中实现,并且具有更高的精度和可忽略不计的误报概率。

 ●P4可编程能力允许客户灵活地定制DDoS检测方法和缓解措施。

●细粒度统计允许客户快速识别哪些应用程序和服务受到了攻击。

●与使用NetFlow的DDoS解决方案相比,基于Tofino的方法在检测DDoS攻击时速度快了几个数量级(从数十秒进步到数十毫秒)。

 


技术创新

        基于可编程芯片的DDoS攻击防御系统,采用基于Tofino芯片的可编程交换机,具备如下优点:相对DPDK更高的转发性能,高达6.4T线速转发,具有更低时延,单线最高100G,避免单线拥塞,转发性能可预期,相对其他硬件交换机,更开放,可编程能力强,转发面p4lang定制开发效率高。

市场前景及应用领域

        将基于P4的可编程交换机引入DDoS防御系统,设备成本根据我们的调查,一个典型的50Gbps DDoS防御中间盒成本约为10万元人民币,一个配备100Gbps网卡的普通服务器在2020年成本约为7万元人民币,一个6.4Tbps barefoot可编程Tofino芯片交换机成本约为10万人民币。我们可以得出结论与其他两种硬件设备相比,使用可编程交换机进行抗DDoS数据包处理节省了几十倍甚至上百倍的设备成本。这些都显示了采用可编程数据平面在抗DDoS攻击成本方面的潜力,也表明市场前景广阔,科研意义重大。可广泛应用云计算安全、大企业公司的门户电商平台游戏服务行业保证了大流量突发攻击下的业务稳定。

合作方式:技术转让、许可使用、股权投资、合作创办企业等技术合作方式,提供从项目策划至项目运行全套技术服务。

成果单位:深圳大学电子与信息工程学院

成果负责人:聂伟

联系电话:13751184970

电子邮箱:wei.nie @szu.edu.cn