個案研究

OVHcloud 如何使用 FPGA 來緩解 DDoS 攻擊

XUP-VV8 圖片
XUP-P3R 卡照片

許多BittWare客戶使用我們基於FPGA的解決方案進行網路數據包處理,包括在網路攻擊或失控的應用程式代碼失控的情況下捍衛服務品質。就歐洲的超大規模雲供應商 OVHcloud而言,他們的客戶可以更好地抵禦分散式拒絕服務(DDoS)攻擊。OVHcloud選擇XUP-P3R卡(如圖)來構建其最先進的篩檢程式來緩解攻擊,每塊板可處理高達200 Gbps的速度。

什麼是 DDoS 攻擊?

帶有BittWare FPGA卡的計算機伺服器

隨著互聯網連接設備和頻寬的增長,出現了一種新的威脅:分散式拒絕服務。此攻擊依賴於攻擊者在單個端點上進行大規模攻擊時指揮的大量通常受到威脅的設備(例如具有最低預設安全性的家庭IP攝像機)。從目標的角度來看,每個設備似乎都在無辜地請求伺服器上的某些內容,例如網頁。但是,在攻擊中,系統會充斥著請求,使其不穩定或不可用。系統過載,因此無法處理任何合法請求。

OVHcloud如何緩解DDoS攻擊?

與所有雲供應商一樣,OVHcloud 投資於保護其客戶免受 DDoS 攻擊。DDoS 防護解決方案通過監控網路、尋找攻擊來工作。檢測攻擊通常需要幾秒鐘。檢測后,OVHcloud 解決方案會更新路由規則,以將可疑流量定向到“清理”設備。

OVHcloud 擁有獨特開發的洗滌解決方案,稱為 VAC,是真空的縮寫。每個 VAC 都包含多個以 600GbE 互連的元件。這些元件中最先進的是三個「Armor」伺服器的陣列。每個 Armor 伺服器都有一個雙插槽主機板,裡面塞滿了一張 XUP-P3R 卡。該卡具有 AMD FPGA 和四個 100GbE 埠,OVHcloud 使用其中兩個。

在OVHcloud,我們認為保護客戶免受DDoS攻擊永遠不應該是一項可選服務。這就是我們為所有客戶提供創新高性能保護的原因。這種「設計使然」的服務可用性方法基於來自Molex集團旗下BittWare的基於FPGA的網路處理卡。

——Stéphane Nappo,OVHcloud的首席資訊安全官

兩個 100GbE 連接埠乘以三個 Armor 伺服器,為 OVHcloud 部署的每個 VAC 提供 600 Gbps 的高級清理潛力。OVHcloud解決方案還利用了BittWare所採用的 DPDK.org 軟體基礎設施。

有關 OVHcloud Armor 執行的特定清理功能的詳細資訊,請參閱 DDoS 防護技術上的 OVHcloud 頁面

使用 BittWare 解決方案快速啟動您自己的解決方案

如果你有興趣像OVHcloud那樣創建自己獨特的反DDoS解決方案,你可以從BittWare的SmartNIC Shell開始,這是一個IP的集合,將FPGA卡變成一個基於DPDK的網卡。從 SmartNIC Shell IP 開始,您可以專注於提供防 DDoS 過濾 IP,而不是從頭開始。SmartNIC Shell IP 具有兩種不同的數據包分類器實現:一種使用 AMD 的 SDNet 的 P4 語言,另一種使用 C++ HLS。

在硬體方面,客戶選擇BittWare用於網路應用的一個關鍵原因是我們對QDR-II+ SRAM記憶體的支援。對於太大而無法放入內部FPGA記憶體的表,需要SRAM。具有QDR-II+選項的卡包括XUP-P3R和XUP-VV8