Fallstudie

Wie OVHcloud FPGAs zur Entschärfung von DDoS-Angriffen einsetzt

Viele Kunden von BittWare nutzen unsere FPGA-basierten Lösungen für die Verarbeitung von Netzwerkpaketen, einschließlich des Schutzes der Servicequalität bei Cyberangriffen oder ausuferndem Anwendungscode. Im Fall von OVHcloud, einem Hyperscale-Cloud-Anbieter in Europa, sind seine Kunden besser vor Distributed Denial of Service (DDoS)-Angriffen geschützt. OVHcloud entschied sich für die XUP-P3R-Karte (Bild), um ihren fortschrittlichsten Filter zur Abschwächung von Angriffen zu bauen, der bis zu 200 Gbit/s pro Karte verarbeiten kann.

Was ist ein DDoS-Angriff?

Mit der Zunahme der mit dem Internet verbundenen Geräte und der Bandbreite ist eine neue Bedrohung aufgetaucht: Distributed Denial of Service. Bei diesem Angriff wird eine große Anzahl von typischerweise kompromittierten Geräten - z. B. IP-Kameras mit minimaler Standardsicherheit - vom Angreifer in einem Massenangriff auf einen einzigen Endpunkt gelenkt. Aus der Perspektive des Ziels scheint jedes Gerät unschuldig etwas auf dem Server anzufordern, z. B. eine Webseite. Bei einem Angriff wird das System jedoch mit Anfragen überflutet, wodurch es instabil oder nicht mehr verfügbar wird. Das System ist überlastet, so dass es keine legitimen Anfragen mehr verarbeiten kann.

Wie entschärft OVHcloud DDoS-Angriffe?

Wie alle Cloud-Anbieter investiert OVHcloud in den Schutz seiner Kunden vor DDoS-Angriffen. Anti-DDoS-Lösungen arbeiten mit der Überwachung von Netzwerken und suchen nach Angriffen. Es dauert in der Regel nur wenige Sekunden, bis ein Angriff erkannt wird. Nach der Erkennung aktualisiert die OVHcloud-Lösung die Routing-Regeln, um verdächtigen Datenverkehr an ein "Scrubbing"-Gerät zu leiten. OVHcloud verfügt über eine eigens entwickelte Scrubbing-Lösung namens VAC, eine Abkürzung für Vakuum. Jede VAC umfasst mehrere Komponenten, die über 600 GbE miteinander verbunden sind. Die fortschrittlichste dieser Komponenten ist ein Array aus drei "Armor"-Servern. Jeder Armor-Server hat ein Motherboard mit zwei Sockeln, das mit einer XUP-P3R-Karte bestückt ist. Die Karte verfügt über ein Xilinx FPGA und vier 100GbE-Ports, von denen OVHcloud zwei nutzt.

Wir bei OVHcloud sind der Meinung, dass der Schutz unserer Kunden vor DDoS-Angriffen niemals eine optionale Dienstleistung sein sollte. Das ist der Grund, warum wir allen unseren Kunden einen innovativen Hochleistungsschutz zur Verfügung stellen. Dieser "by design"-Ansatz der Serviceverfügbarkeit basiert auf FPGA-basierten Netzwerkverarbeitungskarten von BittWare, Teil der Molex-Gruppe.
-Stéphane Nappo, CISO bei OVHcloud

Zwei 100-GbE-Ports, multipliziert mit drei Armor-Servern, bieten OVHcloud 600 Gbit/s an fortschrittlichem Scrubbing-Potenzial auf jeder von ihnen eingesetzten VAC. Die OVHcloud-Lösung nutzt auch die DPDK.org-Softwareinfrastruktur, die von BittWare übernommen wurde.

Auf der OVHcloud-Seite zur Anti-DDoS-Technologie finden Sie Einzelheiten zu den spezifischen Scrubbing-Funktionen, die OVHcloud Armor durchführt.

Starten Sie Ihre eigene Lösung mit BittWare-Lösungen

Wenn Sie daran interessiert sind, Ihre eigene einzigartige Anti-DDoS-Lösung zu entwickeln, wie es OVHcloud getan hat, können Sie mit der SmartNIC Shell von BittWare beginnen, einer Sammlung von IP, die eine FPGA-Karte in eine DPDK-basierte Netzwerkkarte verwandelt. Wenn Sie mit der SmartNIC Shell IP beginnen, können Sie sich darauf konzentrieren, nur die Anti-DDoS-Filter-IP bereitzustellen, anstatt bei Null anzufangen. Die SmartNIC Shell IP bietet zwei verschiedene Implementierungen eines Paketklassifizierers: eine mit der P4-Sprache von Xilinx SDNet und die andere mit C++ HLS.

Auf der Hardwareseite ist ein Hauptgrund, warum Kunden BittWare für Netzwerkanwendungen wählen, unsere Unterstützung für QDR-II+ SRAM-Speicher. SRAM wird für Tabellen benötigt, die zu groß sind, um in den internen FPGA-Speicher zu passen. Zu den Karten mit QDR-II+-Optionen gehören XUP-P3R und XUP-VV8.