背景/問題

在現在的DDoS攻擊中，攻擊流量不再是長而持續，而是轉為了短而高頻的波狀流量。波狀DDoS攻擊與常規DDoS攻擊相同，目的都為癱瘓服務節點或為癱瘓某條鏈路，但波狀DDoS與常規DDoS不同的是，波狀DDoS攻擊可以突破現有DDoS防御機制——ACC(Aggregate-based Congestion Control，基于聚合的擁塞控制機制)——的防御。ACC的工作流程如下所示：



在DDoS攻擊發生時，ACC會首先讓所有的包過FIFO隊列，當擁塞產生丟包之后，數據面會向控制面報告包信息。控制面上的ACC代理在接收到包信息之后會執行兩個操作：包分析和包策略修改。這兩步加起來耗時一般需要幾分鐘的時間量級。

之后，ACC代理向數據面發布新的包處理策略，將分析出的若干數據流聚合，并限制該聚合流的速率，以此實現對DDoS攻擊的防御。

然而，ACC需要幾分鐘的響應時間才能對特定流完成分析并進行聚合與策略發布，這給了攻擊者可乘之機。攻擊者通過將攻擊流劃分成短而高頻的波狀攻擊流，使得每一波攻擊的持續時間約為一分鐘，導致ACC無法完成對DDoS攻擊的響應，并在效果上成功實現DDoS攻擊。本文所訴即為如何設計并實現一個快速響應的DDoS防御系統。本文使用可編程交換機實現了ACC-Turbo，一種快速響應的DDoS防御系統，并進行了評估。

設計

本文將ACC代理拆成了兩塊：流量聚合與策略發布。時間敏感的流量聚合的功能實現在交換機上，它能夠以線速率實現對于包粒度的流量聚合；而非時間敏感的策略發布功能實現在控制面上，負責接收聚合的信息并對每個不同的聚合分別發布不同的策略。ACC-Turbo的工作流程如下圖所示。

在ACC-Turbo中，流量會先進入聚合器進行聚合，并在聚合完成后進入調度器執行被分配的策略。由于聚合器是在交換機上實現的，因此它是一個在線的聚合器，并且能以線速率實現在包粒度上實現對于流量的聚合。這是ACC-Turbo響應時間比ACC快的主要原因。聚合器的具體實現方式如圖所示。

在交換機中，ACC-Turbo將流量以(源ip，目的ip)為坐標并映射到二維平面上，使用寄存器記錄每個聚合的坐標上下限，使用布隆過濾器記錄流量的集合。當新的包到達交換機時，ACC-Turbo會根據坐標與各個聚合之間的曼哈頓距離來將包聚合到最接近的類中，實現對于流量的聚合。

性能評估

ACC-Turbo的評估如下圖所示。在使用波狀DDoS攻擊的時候，可以看到ACC-Turbo成功防止了鏈路被攻擊。在防御過程中，會有部分攻擊流量因為沒有成功聚合到正確的類而被放過，但總體占比較小并不會對鏈路產生較大影響；在響應時間上，ACC-Turbo成功的在每個波狀流量來臨時及時的完成了響應，它的響應時間小于1秒，比當前其他最前沿防御技術快了10倍。

個人觀點

個人覺得這是一個很有意思的事情，你有你的張良計，我有我的過墻梯。DDoS攻擊與防御算的上是最強之矛與最強之盾的角逐之一。ACC的設計者可能并沒有想到，嘿，DDoS還給我整出波狀攻擊的花活；而波狀攻擊的設計者可能也沒想到，嘿，ACC-Turbo居然用可編程交換機來快速聚合。個人很期待下一輪的DDoS的攻防角逐，畢竟ACC-Turbo依舊有反應延遲，DDoS依舊有可能通過壓縮每波的持續時間來進行攻擊，不知到時候防御方將如何應對。

IXP scrubber: learning from blackholing traffic for ML-driven DDoS detection at scale

Matthias Wichtlhuber (DE-CIX), Eric Strehle(Brandenburg University of Technology), Daniel Kopp (DE-CIX), Lars Prepens (DE-CIX), Stefan Stegmueller (DE-CIX), Alina Rubina (DE-CIX), Christoph Dietzel (DE-CIX), Oliver Hohlfeld (Brandenburg University of Technology)

這篇文章來自麻省理工學院和瞻博網絡團隊的研究者。它介紹了一種用于瞻博網絡MX系列路由器和交換機的可編程芯片組——Trio。

背景/問題

分布式拒絕服務（DDoS）攻擊是最嚴重的網絡安全威脅之一，甚至危及最大網絡和服務的穩定性。現有的緩解服務范圍主要在互聯網邊緣進行過濾，從而給網絡基礎設施造成不必要的負擔。因此，我們提出了一種基于機器學習（ML）的系統IXP過濾器，用于在互聯網交換點（IXP）檢測和過濾互聯網核心的DDoS流量，這些交換點可以看到大量和各種DDoS。

設計

步驟1：引入規則標簽，通過將單個流標記為良性或惡意，通過網絡防火墻，操作員可以在WEB界面中驗證他們。步驟2：將平衡數據集的流以時間和目標進行分組，在相同時間內。所有時間和目標相同的流會被整合到一個數據集里。這些數據記錄會根據數據包平均大小，所有流的字節數還有數據包數進行排序。如果我們發現數據記錄中至少有一個流被標記為blackholed,那么我們可能會認為這條記錄是DDOS。

性能評估

作者在5個IXP節點安裝了IXP Scrubber以測試其在時間穩定性（重新訓練時長間隔）、地理穩定性（不同地區的模型是否通用）以及結果的可解釋性。分類排序：



實驗發現采用XGB模型可以獲得最高的正確率。同時對于運營者而言可讀的rule mining 方法也具有較優的性能，應證了在設計中將兩者結合的合理性。同時實驗表明不同IXP之間的模型可以通用（僅有較小性能損失），同時模型的有效性與重訓練時長負相關（合理的重訓練間隔在1月左右）。

個人觀點

IXP Scrubber將防御DDOS攻擊與機器學習相結合，具有較好的創新性。它作用場景在互聯網交換點,而在這些交換點可以看到大量和各種DDoS流量。IXP Scrubber中的XGB模型有最高的正確率，而rule mining模型則有較高的可讀性與較高的準確性。但是文章對于流量過濾中的false positive情景及其對網絡有效傳輸產生的影響還需要進一步說明。

SurgeProtector: mitigating temporal algorithmic complexity attacks using adversarial scheduling

Nirav Atre (Carnegie Mellon University), Hugo Sadok (Carnegie Mellon University), Erica Chiang (Carnegie Mellon University), Weina Wang (Carnegie Mellon University), Justine Sherry (Carnegie Mellon University)

這篇文章來自普渡大學的Vishal Shrivastav。它主要介紹了Thanos，可以增強現有的可編程交換機pipeline，支持對一組資源進行可編程的多維過濾。

背景/問題

網絡中路由器內置函數易受到算法復雜度攻擊（ACA）的攻擊。使用ACA，攻擊者只需要少量的網絡和計算資源生成數據報，就可以在目標系統上消耗大量計算資源。給定足夠的請求速率，攻擊者可以使受害者過載，導致其丟棄來自服務的常規用戶的請求。與傳統的DoS攻擊相比，ACA以其效率和不易發現性，更加危險。

設計

Surgeprotector的主要功能是在network function中，加入一個WSJF(Weighted Shortest Job First)的調度算法，這個算法可以對DF(displacement factor)設置一個上限，同時他對其他的算法有很好的兼容性。同時WSJF不會對正常的用戶流量施加限制，即使用戶的報文出現了失序，也不會因為處理時間復雜度過高而被丟棄，因此可以將損失降到最低。

性能評估

實驗主要應對兩種ACAs攻擊場景：1.向TCP Reassembler發送高度亂序的報文；2.發送最大報文長度限制的數據包，以消耗路由器在驗證報文正確性的時間。



實驗顯示SurgeProtector的策略相較默認策略（FCFS)在吞吐量上有極大提高。

個人觀點

Surgeprotector的設計其實不算復雜，本質上是將WSJF(Weighted Shortest Job First)算法應用在路由器中易受攻擊的網絡函數（network function）中，使得復雜的任務不會無限占用資源。但是卻能夠收到很好的效果，主要在于它不會對正常的用戶流量施加限制。我認為有一個可能的改進是能否根據某種特征主動識別出疑似ACA的攻擊報文，并將其從任務隊列中移除，這樣可以進一步提高效率。

Design and Evaluation of IPFS: A Storage Layer for the Decentralized Web

Dennis Trautwein (Protocol Labs & University of G?ttingen), Aravindh Raman (Telefonica Research), Gareth Tyson (Hong Kong University of Science & Technology (GZ)), Ignacio Castro (Queen Mary University of London), Will Scott(Protocol Labs), Moritz Schubotz (FIZ Karlsruhe – Leibniz Institute for Information Infrastructure), Bela Gipp (University of G?ttingen), Yiannis Psaras (Protocol Labs)

這是一篇來自哥廷根大學等各個地方的論文。他給出了IPFS(the InterPlanetary File System)的設計與評估。IPFS是一個去中心化的WEB平臺，用于文件存儲與傳輸。

背景/問題

近年來，網絡運營的整合越來越多。例如，現在大部分的網絡流量都來自于少數幾個組織，甚至微型網站也經常選擇托管在已經存在的大型云基礎設施上。為了應對這一問題，“去中心化網絡”試圖更均勻地分配網絡服務的所有權和操作。本文給出了IPFS的設計與實現與評估。IPFS是目前最大同時也是最廣泛運用的去中心化的web平臺，已經支持了數十個第三方應用。

設計

IPFS的工作流程如下圖所示。對于提供者而言，他首先將文件傳入本地的IPFS中生成一個CID(Content Identifiers)，并將該CID發布給請求者并把CID傳入DHT網絡。DHT網絡會自動找到和該CID最接近的節點。在找到之后，提供者會與該節點一同存儲數據。對于請求者而言，他首先會將獲取到的CID傳入DHT網絡。DHT網絡會自動為其找到最接近的節點。當請求者得到節點信息之后，即可通過該節點與提供者形成鏈路連接，開始下載。

性能評估

由于IPFS是一個已經在使用的系統，因此文中給出了許多真實的用戶數據。例如，如果對IP進行歸屬，可以發現大量的IP所屬都為亞馬遜、微軟等服務巨頭，佐證了當前大部分的網絡流量都來自于少數幾個組織的說話。具體的性能評估方面，對于UE節點的請求80%可以在500ms內處理完成，而對于所有請求類型來說，500%的請求可以在1s內完成。

個人觀點

由于這是一個已經使用中的系統，因此在設計上沒有給筆者十分亮眼的感覺，這可能是筆者的偏見。在論文中，由于是一個實際使用的系統因此有很多真實數據，值得一觀。

From Luna to Solar: The Evolutions of the Compute-to-Storage Networks in Alibaba Cloud

Rui Miao, Lingjun Zhu, Shu Ma, Kun Qian, Shujun Zhuang, Bo Li, Shuguang Cheng, Jiaqi Gao, Yan Zhuang,Pengcheng Zhang, Rong Liu, Chao Shi, Binzhang Fu, Jiaji Zhu, Jiesheng Wu, Dennis Cai, Hongqiang Harry Liu (Alibaba Group)

這是來自阿里巴巴group的文章。本文雖然是一篇文章，但是提出的是兩個系統。針對一個數據中心的計算集群和存儲集群而言，存在前端網絡(FN)和后端網絡(BN),本文的目的是優化這兩個網絡的性能使整體性能更優。第一個系統Luna同時優化了FN和BN，但是使得SA成為瓶頸。第二個系統Solar將SA部分功能卸載至硬件，優化了SA的性能。

背景/問題

一個EBS(Elastic Block Storage)的網絡結構如下圖所示。對于EBS而言，計算集群和存儲集群通訊需要分別進過前端網絡(CN)和后端網絡(BN)。前端網絡和后端網絡的性能對于I/O來講至關重要。由于前端網絡需要支持多種多樣的計算集群，而后端網絡需要具有良好的拓展性以及良好的錯誤處理，常規的TCP已經不能滿足兩個網絡的需求。

設計

Luna：對于前端網絡來講，Luna使用一個用戶級別的軟件TCP來實現對不用計算集群種類的支持；而對于后端網絡來講，由于其存儲節點都是一致的，而任務也大致相同，因此可以采取不那么靈活的處理方案，在Luna中采用的處理方案是硬件RDMA。

在使用了Luna之后，對比之前的系統核方案，FN和BN的性能都得到了提升，但是存儲代理(SA)成為了瓶頸。Solar：Solar的核心想法如圖所示。由于在SA上數據都會走CPU，導致給數據總線過大的流量，使得網絡性能被限制在了SA的性能上。Solar通過將數據流的路徑卸到DPU上，并將控制面部署在CPU中，實現了數據流量與PCIe的脫鉤，使得SA的性能不再是系統瓶頸。

性能評估

相對于未使用Luna和Solar的情況下，Luna在FN的延遲上減少了80%，并且在BN的延遲上減少了50%。而在使用了Solar之后，SA的延遲相對于Luna減少了40%。

個人觀點

與會之后就覺得，啊，這不是廢話嘛！當然，這是事后諸葛。Luna對兩個不同要求的網絡使用了不同的定制網絡，分別對其性能進行優化；而Solar在筆者看來，SA的物理位置有點像粘合器，將兩種不同的網絡接上，因此Solar對SA專門優化，將SA的數據面由CPU卸載至RDMA，使得SA對系統性能的限制有所下降。Luna和Solar分別對EBS的不同部分進行了優化，是非常優秀的工作。





審核編輯：劉清