Fallstudie

Wie OVHcloud FPGAs zur Entschärfung von DDoS-Angriffen einsetzt

Viele Kunden von BittWare nutzen unsere FPGA-basierten Lösungen für die Verarbeitung von Netzwerkpaketen, einschließlich des Schutzes der Servicequalität bei Cyberangriffen oder ausuferndem Anwendungscode. Im Fall von OVHcloud, einem Hyperscale-Cloud-Anbieter in Europa, sind seine Kunden besser vor Distributed Denial of Service (DDoS)-Angriffen geschützt. OVHcloud entschied sich für die XUP-P3R-Karte (Bild), um ihren fortschrittlichsten Filter zur Abschwächung von Angriffen zu bauen, der bis zu 200 Gbit/s pro Karte verarbeiten kann.

Was ist ein DDoS-Angriff?

Computer-Server mit BittWare FPGA-Karte

Mit der Zunahme der mit dem Internet verbundenen Geräte und der Bandbreite ist eine neue Bedrohung aufgetaucht: Distributed Denial of Service. Bei diesem Angriff wird eine große Anzahl von typischerweise kompromittierten Geräten - z. B. IP-Kameras mit minimaler Standardsicherheit - vom Angreifer in einem Massenangriff auf einen einzigen Endpunkt gelenkt. Aus der Perspektive des Ziels scheint jedes Gerät unschuldig etwas auf dem Server anzufordern, z. B. eine Webseite. Bei einem Angriff wird das System jedoch mit Anfragen überflutet, wodurch es instabil oder nicht mehr verfügbar wird. Das System ist überlastet, so dass es keine legitimen Anfragen mehr verarbeiten kann.

Wie entschärft OVHcloud DDoS-Angriffe?

Like all cloud providers, OVHcloud invests in defending its customers against DDoS attacks. Anti-DDoS solutions work by monitoring networks, looking for attacks. It generally takes a few seconds to detect an attack. After detection, the OVHcloud solution updates routing rules to direct suspicious traffic at a “scrubbing” device.

OVHcloud has a uniquely developed scrubbing solution called VAC, which is short for vacuum. Each VAC includes several components interconnected at 600GbE. The most advanced of these components is an array of three “Armor” servers. Each Armor server has a two-socket motherboard stuffed with one XUP-P3R card. The card features an AMD FPGA and four 100GbE ports, with OVHcloud using two of these.

Wir bei OVHcloud sind der Meinung, dass der Schutz unserer Kunden vor DDoS-Angriffen niemals eine optionale Dienstleistung sein sollte. Das ist der Grund, warum wir allen unseren Kunden einen innovativen Hochleistungsschutz zur Verfügung stellen. Dieser "by design"-Ansatz der Serviceverfügbarkeit basiert auf FPGA-basierten Netzwerkverarbeitungskarten von BittWare, Teil der Molex-Gruppe.

-Stéphane Nappo, CISO bei OVHcloud

Zwei 100-GbE-Ports, multipliziert mit drei Armor-Servern, bieten OVHcloud 600 Gbit/s an fortschrittlichem Scrubbing-Potenzial auf jeder von ihnen eingesetzten VAC. Die OVHcloud-Lösung nutzt auch die DPDK.org-Softwareinfrastruktur, die von BittWare übernommen wurde.

Auf der OVHcloud-Seite zur Anti-DDoS-Technologie finden Sie Einzelheiten zu den spezifischen Scrubbing-Funktionen, die OVHcloud Armor durchführt.

Starten Sie Ihre eigene Lösung mit BittWare-Lösungen

If you’re interested in creating your own unique anti-DDoS solution like OVHcloud did, you can start with BittWare’s SmartNIC Shell, which is a collection of IP that turns an FPGA card into a DPDK-based network card. Starting with the SmartNIC Shell IP lets you focus on supplying just the anti-DDoS filtering IP rather than starting from scratch. The SmartNIC Shell IP features two different implementations of a packet classifier: one using AMD’s SDNet’s P4 language and the other using C++ HLS.

Auf der Hardwareseite ist ein Hauptgrund, warum Kunden BittWare für Netzwerkanwendungen wählen, unsere Unterstützung für QDR-II+ SRAM-Speicher. SRAM wird für Tabellen benötigt, die zu groß sind, um in den internen FPGA-Speicher zu passen. Zu den Karten mit QDR-II+-Optionen gehören XUP-P3R und XUP-VV8.