個案研究
OVHcloud 如何使用 FPGA 來緩解 DDoS 攻擊

許多BittWare客戶使用我們基於FPGA的解決方案進行網路數據包處理,包括在網路攻擊或失控的應用程式代碼失控的情況下捍衛服務品質。就歐洲的超大規模雲供應商 OVHcloud而言,他們的客戶可以更好地抵禦分散式拒絕服務(DDoS)攻擊。OVHcloud選擇XUP-P3R卡(如圖)來構建其最先進的篩檢程式來緩解攻擊,每塊板可處理高達200 Gbps的速度。
什麼是 DDoS 攻擊?

OVHcloud如何緩解DDoS攻擊?
與所有雲供應商一樣,OVHcloud致力於保護其客戶免受DDoS攻擊。DDoS 防護解決方案通過監控網路、尋找攻擊來工作。檢測攻擊通常需要幾秒鐘。檢測到後,OVHcloud 解決方案會更新路由規則,以將可疑流量定向到“清理”設備。 OVHcloud有一個獨特開發的洗滌解決方案,稱為VAC,是真空的縮寫。每個 VAC 包括多個以 600GbE 互連的元件。這些元件中最先進的是三個「Armor」伺服器的陣列。每個 Armor 伺服器都有一個雙插槽主機板,裡面塞滿了一個 XUP-P3R 卡。該卡具有Xilinx FPGA和四個100GbE埠,OVHcloud使用其中兩個。在OVHcloud,我們認為保護客戶免受DDoS攻擊永遠不應該是一項可選服務。這就是我們為所有客戶提供創新高性能保護的原因。這種「設計使然」的服務可用性方法基於來自Molex集團旗下BittWare的基於FPGA的網路處理卡。
——Stéphane Nappo,OVHcloud的首席資訊安全官
兩個 100GbE 連接埠乘以三個 Armor 伺服器,為 OVHcloud 部署的每個 VAC 提供 600 Gbps 的高級清理潛力。OVHcloud解決方案還利用了BittWare所採用的 DPDK.org 軟體基礎設施。
有關 OVHcloud Armor 執行的特定清理功能的詳細資訊,請參閱 DDoS 防護技術上的 OVHcloud 頁面 。
使用 BittWare 解決方案快速啟動您自己的解決方案
如果您有興趣像OVHcloud一樣創建自己獨特的反DDoS解決方案,則可以從BittWare的SmartNIC Shell開始,這是一個IP集合,可將FPGA卡轉換為基於DPDK的網卡。從智慧網卡外殼 IP 開始,您可以專注於提供反 DDoS 過濾 IP,而不是從頭開始。SmartNIC Shell IP 具有兩種不同的數據包分類器實現:一種使用 Xilinx 的 SDNet 的 P4 語言,另一種使用 C++ HLS。
在硬體方面,客戶選擇BittWare用於網路應用的一個關鍵原因是我們對QDR-II+ SRAM記憶體的支援。對於太大而無法放入內部FPGA記憶體的表,需要SRAM。具有QDR-II+選項的卡包括XUP-P3R和XUP-VV8。