案例研究
OVHcloud如何使用FPGA来减轻DDoS攻击的影响
许多BittWare客户将我们基于FPGA的解决方案用于网络数据包处理,包括在网络攻击或失控的应用程序代码中捍卫服务质量。在欧洲的超大规模云供应商OVHcloud的案例中,他们的客户得到了更好的保护,免受分布式拒绝服务(DDoS)攻击。OVHcloud选择了XUP-P3R卡(如图)来构建他们最先进的缓解攻击的过滤器,每块板子可以处理高达200Gbps。
什么是DDoS攻击?
随着互联网连接设备和带宽的增长,一种新的威胁已经出现:分布式拒绝服务(Distributed Denial of Service)。这种攻击依赖于大量通常已被破坏的设备--例如默认安全性最低的家用IP摄像机--被攻击者引导到一个单一的端点上进行大规模攻击。从目标的角度来看,每个设备似乎都在无辜地请求服务器上的东西,如一个网页。然而,在一次攻击中,系统被请求淹没,使其不稳定或不可用。系统过载,所以它不能处理任何进来的合法请求。
OVHcloud是如何缓解DDoS攻击的?
像所有的云供应商一样,OVHcloud投资于防御其客户的DDoS攻击。反DDoS解决方案通过监测网络,寻找攻击来工作。一般来说,检测一次攻击只需要几秒钟。检测到后,OVHcloud解决方案会更新路由规则,将可疑的流量引向一个 "洗刷 "设备。 OVHcloud有一个独特开发的洗涤解决方案,称为VAC,这是真空的简称。每个VAC包括几个以600GbE互连的组件。这些组件中最先进的是一个由三台 "铠甲 "服务器组成的阵列。每个Armor服务器都有一个双插槽主板,里面塞满了一块XUP-P3R卡。该卡具有Xilinx FPGA和四个100GbE端口,OVHcloud使用其中的两个。在OVHcloud,我们相信保护客户免受DDoS攻击绝不应该是一项可有可无的服务。这就是为什么我们为所有客户提供创新的高性能保护的原因。这种 "通过设计 "的服务可用性方法是基于Molex集团旗下的BittWare公司基于FPGA的网络处理卡。
-OVHcloud的首席执行官Stéphane Nappo。
两个100GbE端口乘以三个Armor服务器,使OVHcloud在他们部署的每个VAC上都有600Gbps的高级刷新潜力。OVHcloud解决方案还利用了BittWare接受的DPDK.org软件基础设施。
有关OVHcloud Armor执行的具体刷新功能的详情,请参见OVHcloud关于反DDoS技术的页面。
使用BittWare的解决方案来启动你自己的解决方案
如果你有兴趣像OVHcloud那样创建自己独特的抗DDoS解决方案,你可以从BittWare的SmartNIC Shell开始,它是一个IP集合,可以将FPGA卡变成基于DPDK的网卡。从SmartNIC Shell IP开始,你可以专注于只提供抗DDoS过滤IP,而不是从头开始。SmartNIC Shell IP具有两个不同的数据包分类器实现:一个使用Xilinx的SDNet的P4语言,另一个使用C++ HLS。
在硬件方面,客户为网络应用选择BittWare的一个重要原因是我们对QDR-II+ SRAM存储器的支持。由于表太大,无法装入内部FPGA存储器,所以一直需要SRAM。具有QDR-II+选项的卡包括XUP-P3R和XUP-VV8。
