本文版權為《郵電設計技術》所有,如需轉載請聯(lián)系《郵電設計技術》編輯部
摘 要:針對當前規(guī)模日益增大的分布式拒絕服務攻擊(DDoS),提出一種基于 Intel DPDK 的 DDoS 攻擊防御技術,對比分析其相對于傳統(tǒng) DDoS 防御技術的優(yōu)缺點。在此基礎上使用網絡測試儀進行仿真測試,結果表明DPDK對于提升整體DDoS防御性能效果顯著。
關鍵詞:攻擊防御;DPDK;DDoS;數(shù)據(jù)包捕獲識別
doi:10.12045/j.issn.1007-3043.2020.01.014
前言
互聯(lián)網技術的快速發(fā)展,運營商4G技術的廣泛使用以及5G技術的快速演進給人們帶來便捷的同時,也使網絡攻擊等違法行為的規(guī)模及數(shù)量迅速增長,分布式拒絕服務攻擊(DDoS)是最主要的威脅之一。其中網絡層SYN Flood和UDP Flood是流量最大的2種攻擊類型,并且 SYN Flood 大流量攻擊數(shù)量從 2018 年 1 月以來顯著增加。
防御 DDoS 攻擊的主流技術是流量清洗,其核心是采集流量并分析,傳統(tǒng)基于 Linux 內核的流量清洗技術由于較大的網絡開銷和系統(tǒng)資源消耗導致其難以滿足當前需求。針對這一趨勢,本文提出一種基于Intel DPDK 的 DDoS 攻擊防御方案,旨在當前 Linux 內核流量清洗技術的基礎上,達到更高的流量清洗能力,為DPDK技術應用領域拓展以及DDoS攻擊防御性能提升提供新的思路。