案例研究

OVHcloud如何使用FPGA来减轻DDoS攻击的影响

许多BittWare客户将我们基于FPGA的解决方案用于网络数据包处理，包括在网络攻击或失控的应用程序代码中捍卫服务质量。在欧洲的超大规模云供应商OVHcloud的案例中，他们的客户得到了更好的保护，免受分布式拒绝服务（DDoS）攻击。OVHcloud选择了XUP-P3R卡（如图）来构建他们最先进的缓解攻击的过滤器，每块板子可以处理高达200Gbps。

什么是DDoS攻击？

随着互联网连接设备和带宽的增长，一种新的威胁已经出现：分布式拒绝服务（Distributed Denial of Service）。这种攻击依赖于大量通常已被破坏的设备--例如默认安全性最低的家用IP摄像机--被攻击者引导到一个单一的端点上进行大规模攻击。从目标的角度来看，每个设备似乎都在无辜地请求服务器上的东西，如一个网页。然而，在一次攻击中，系统被请求淹没，使其不稳定或不可用。系统过载，所以它不能处理任何进来的合法请求。

OVHcloud是如何缓解DDoS攻击的？

与所有云计算服务提供商一样，OVHcloud 在防御客户的 DDoS 攻击方面进行了投资。防 DDoS 解决方案通过监控网络来寻找攻击。通常只需几秒钟就能检测到攻击。检测到攻击后，OVHcloud 解决方案会更新路由规则，将可疑流量导向 "清除 "设备。

OVHcloud 开发了一种独特的擦除解决方案，称为 VAC，是真空的简称。每个 VAC 包括多个以 600GbE 互联的组件。其中最先进的组件是由三台 "铠甲 "服务器组成的阵列。每台 "铠甲 "服务器都有一块双插槽主板，上面装有一块 XUP-P3R 卡。该卡采用 AMD FPGA 和四个 100GbE 端口，OVHcloud 使用其中的两个。

在OVHcloud，我们相信保护客户免受DDoS攻击绝不应该是一项可有可无的服务。这就是为什么我们为所有客户提供创新的高性能保护的原因。这种 "通过设计 "的服务可用性方法是基于Molex集团旗下的BittWare公司基于FPGA的网络处理卡。
-OVHcloud的首席执行官Stéphane Nappo。

两个100GbE端口乘以三个Armor服务器，使OVHcloud在他们部署的每个VAC上都有600Gbps的高级刷新潜力。OVHcloud解决方案还利用了BittWare接受的DPDK.org软件基础设施。

有关OVHcloud Armor执行的具体刷新功能的详情，请参见OVHcloud关于反DDoS技术的页面。

使用BittWare的解决方案来启动你自己的解决方案

如果您有兴趣像OVHcloud一样创建自己独特的抗DDoS解决方案，可以从BittWare的SmartNIC Shell开始，它是一个IP集合，可以将FPGA卡变成基于DPDK的网卡。从SmartNIC Shell IP开始，您只需提供抗DDoS过滤IP，而不必从头开始。SmartNIC Shell IP 有两种不同的数据包分类器实现方式：一种使用 AMD SDNet 的 P4 语言，另一种使用 C++ HLS。

在硬件方面，客户为网络应用选择BittWare的一个重要原因是我们对QDR-II+ SRAM存储器的支持。由于表太大，无法装入内部FPGA存储器，所以一直需要SRAM。具有QDR-II+选项的卡包括XUP-P3R和XUP-VV8。