本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘 要:针对当前规模日益增大的分布式拒绝服务攻击(DDoS),提出一种基于 Intel DPDK 的 DDoS 攻击防御技术,对比分析其相对于传统 DDoS 防御技术的优缺点。在此基础上使用网络测试仪进行仿真测试,结果表明DPDK对于提升整体DDoS防御性能效果显著。
关键词:攻击防御;DPDK;DDoS;数据包捕获识别
doi:10.12045/j.issn.1007-3043.2020.01.014
前言
互联网技术的快速发展,运营商4G技术的广泛使用以及5G技术的快速演进给人们带来便捷的同时,也使网络攻击等违法行为的规模及数量迅速增长,分布式拒绝服务攻击(DDoS)是最主要的威胁之一。其中网络层SYN Flood和UDP Flood是流量最大的2种攻击类型,并且 SYN Flood 大流量攻击数量从 2018 年 1 月以来显著增加。
防御 DDoS 攻击的主流技术是流量清洗,其核心是采集流量并分析,传统基于 Linux 内核的流量清洗技术由于较大的网络开销和系统资源消耗导致其难以满足当前需求。针对这一趋势,本文提出一种基于Intel DPDK 的 DDoS 攻击防御方案,旨在当前 Linux 内核流量清洗技术的基础上,达到更高的流量清洗能力,为DPDK技术应用领域拓展以及DDoS攻击防御性能提升提供新的思路。
