本文探讨了DDoS攻击及其对网络的影响,对比了现有的流量镜像和清洗方法的不足,提出了一种新的6.4Tbps速率的检测方案。通过Hyperloglog sketch算法在数据平面计算目标源数量,当超过阈值时触发防御机制,将流量转发至DDoS防护服务商。P4技术在DDoS检测中表现出高效优势。
DDos大家都知道,就是挟持大量的流量密集的访问目标网站让它瘫痪。该如何破解DDos攻击呢?这就是今天要聊的内容。
现有市面上主流方法:
对流量做镜像,分析镜像流量是否为可疑流量,出现问题时进行流量清洗来防御DDoS攻击。
缺点:分析、清洗的时间过长,响应反应缓慢。
新的方法
用6.4Tbps的速率检测可疑与正常流量
如何察觉、抵御DDoS攻击?
察觉DDoS攻击的原理
计算数据平面每个目标的源数量,使用Hyperloglog sketch算法(复杂度为log(logn))来计算数量,用计算出的数值与阈值相比较,当超过阈值后判定产生了DDoS攻击,转发到专门的DDoS厂商来解决问题。
Hyperloglog sketch算法介绍
具体计算方式如图,不再赘述。(HASH算法真是万能)
数据平面上的计数流程:
取得HASH算法的值与自己的预设表进行比较,得出IP源的数据范围。
使用P4方式进行DDoS detection的统计结果
总之,使用P4的方式进行DDoS的detection是十分优越的。
597
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
