Intel DPDK和Hyperscan的網(wǎng)絡防御系統(tǒng)

趙旭濤

（電子科技大學，四川成都,611731）

Intel DPDK和Hyperscan的網(wǎng)絡防御系統(tǒng)

趙旭濤

（電子科技大學，四川成都,611731）

針對系統(tǒng)并發(fā)訪問用戶數(shù)量急劇提升，后端的安全驗證對服務器消耗日益突出的問題，提出了一種Intel DPDK和Hyperscan的網(wǎng)絡安全防御系統(tǒng)，系統(tǒng)基于并行處理機制，在數(shù)據(jù)經(jīng)過的網(wǎng)關處進行安全驗證，以有效的避免子后端服務器可能遭受的DDoS的攻擊，減輕了子后端服務器的壓力和保護服務器的健康運行。

DPDK；Hyperscan；HTTP DDoS；網(wǎng)絡安全

1 概述

隨著互聯(lián)網(wǎng)的高速發(fā)展以及云計算的出現(xiàn)，原本只能由大型組織才能發(fā)動的DDoS攻擊，現(xiàn)在只要通過控制大量的虛擬機主機就能由普通的攻擊者完成。由于越來越多的網(wǎng)絡服務或信息以Web方式提供，因此Web服務器成了各種DDoS攻擊的首要目標。在網(wǎng)絡層DDoS攻擊難以達到效果的情況下，應用層DDoS攻擊成為近年來攻擊者常用的手段。通過建立正常的tcp連接模擬正常用戶瀏覽網(wǎng)頁的行為，向Web服務器發(fā)送大量合法的HTTP Get請求，耗盡Web服務器資源，使其無法響應其他正常用戶的請求。由于系統(tǒng)后端業(yè)務的快速增加和并發(fā)訪問量的提升，無論是對軟件還是硬件系統(tǒng)都有了更高的性能和可承受的壓力要求。傳統(tǒng)的安全防御大多數(shù)都由提供服務的目標服務器來完成，即服務程序和防御程序位于同一臺主機。目標服務器不僅用來完成用戶正常的請求，還需要同時具備有安全防護的功能。這樣做的一個弊端就是如果攻擊者直接攻擊目標服務器，目標服務器就會因為不停的進行安全驗證而消耗大量的資源，從而造成正常的用戶活動無法進行。如果能在數(shù)據(jù)到達目標服務器之前進行安全防護，這樣就可以極大的保護目標服務器，使其避免遭受DDoS的攻擊而更好的向用戶提供服務。

圖1 系統(tǒng)總體結(jié)構圖

目前HTTP DDoS防御措施主要為數(shù)據(jù)數(shù)據(jù)經(jīng)過系統(tǒng)的協(xié)議棧之后，在采用一定的安全校驗算法來對數(shù)據(jù)進行檢測。本文提出了一種基于Intel DPDK和Hyperscan的HTTP DDoS安全的防護措施，在數(shù)據(jù)經(jīng)過目標服務器的網(wǎng)關處進行安全驗證，從而不必進過操作系統(tǒng)的協(xié)議棧之后在進行安全驗證，這極大的提升了系統(tǒng)的性能。

2 系統(tǒng)架構及主要技術

2.1 系統(tǒng)總體結(jié)構

系統(tǒng)總體結(jié)構圖如圖1所示。

圖中的DPDK和Hyperscan運行于網(wǎng)關處，數(shù)據(jù)經(jīng)過DPDK，在內(nèi)部通過Hyperscan對報文的數(shù)據(jù)部分進行正則表達式匹配，對于匹配到的結(jié)果采取相應的操作，如丟包、放行或進行白名單驗證等。

2.2 Intel DPDK數(shù)據(jù)包捕獲方式

英特爾數(shù)據(jù)平面開發(fā)套件（Intel DPDK）是由 Intel 公司為x86平臺的報文快速處理所提供的一系列庫和驅(qū)動的集合，DPDK的主要目標是提供一個簡單的、完整的框架,用于快速數(shù)據(jù)包處理數(shù)據(jù)平面應用程序，用戶可以在DPDK的基礎上開發(fā)出自己的協(xié)議棧。其通過環(huán)境抽象層提供數(shù)據(jù)面功能以取代內(nèi)核的系統(tǒng)調(diào)用，輪詢模式數(shù)據(jù)包讀取替代中斷，旁路內(nèi)核協(xié)議棧，優(yōu)化內(nèi)存及隊列管理等技術，實現(xiàn)用戶空間下的高速網(wǎng)絡數(shù)據(jù)包處理。DPDK基本框架如圖1所示，底層硬件網(wǎng)絡適配器實現(xiàn)對數(shù)據(jù)幀的接收；內(nèi)核態(tài)的三個模塊中，KNI 模塊提供傳統(tǒng)的網(wǎng)絡工具，UIO模塊實現(xiàn)將網(wǎng)卡硬件寄存器映射到用戶態(tài)，在用戶空間運行驅(qū)動設備，VFIO是用戶態(tài)的PCI設備驅(qū)動開發(fā)的框架，它向用戶態(tài)提供訪問硬件設備的接口，也向用戶態(tài)提供配置IOMMU的接口；EAL（環(huán)境抽象層）作為 DPDK 關鍵模塊，為底層資源的訪問提供用戶層入口，完成資源的分配及初始化；此外，DPDK核心部件庫提供內(nèi)存池、緩沖區(qū)管理、輪詢模式、定時等接口，服務于上層應用程序。其依賴于如下關鍵技術：

1）Hugepage

通過預留的 Hugepage 實現(xiàn)對內(nèi)存池的管理，設置 256kb、512kb、2M、4M、16M、1G、4G和16G的頁表大小較默認的 4K配置可大幅度減少了頁表的查找，降低TLB miss。提高內(nèi)存的訪問效率。

2）UIO (User space I/O)

利用UIO支持，提供應用空間下驅(qū)動程序的支持，也就是說網(wǎng)卡驅(qū)動是運行在用戶空間的，減少了報文在用戶空間和應用空間的多次拷貝。

3）CPU affinity

運用 CPU 親和力機制，將控制線程以及數(shù)據(jù)處理線程綁定到不同的核，避免來回調(diào)度產(chǎn)生的資源消耗。

4）環(huán)形緩沖區(qū)

提供內(nèi)存池和無鎖環(huán)形緩存管理，加快內(nèi)存訪問效率。

5）內(nèi)存池

為應用程序和其它組件提供分配內(nèi)存池的接口，內(nèi)存池是一個由固定大小的多個內(nèi)存塊組成的內(nèi)存容器，可用于存儲相同對像實體，如報文緩存塊等。內(nèi)存池由內(nèi)存池的名稱（一個字符串）來唯一標識，它由一個環(huán)緩中區(qū)和一組核本地緩存隊列組成，每個核從自已的緩存隊列分配內(nèi)存塊，當本地緩存隊列減少到一定程度時，從內(nèi)存環(huán)緩沖區(qū)中申請內(nèi)存塊來補充本地隊列。

2.3 正則表達式匹配引擎Hyperscan

Hyperscan是一個高性能的正則表達式匹配的C庫，它支持大部分libpcre正則表達式的語法。Hyperscan使用混合自動機技術，而不是單純的一種DFA或者NFA技術，這不同于常見的正則表達式引擎的實現(xiàn)算法，因此Hyperscan在多種不同的場合下的性能都表現(xiàn)的很出色。除此之外Hyperscan還支持同時匹配上萬條數(shù)的正則表達式，同時支持GB級別的大文本查找和支持序列化等功能。

3 系統(tǒng)設計

3.1 控制進程流程。主線程運行入口是main函數(shù)，調(diào)用了rte_eal_init入口函數(shù)，啟動基礎運行環(huán)境。DPDK面向多核設計，程序會試圖獨占運行在邏輯核（lcore）上。main函數(shù)調(diào)用環(huán)境抽象層初始化函數(shù) rte_eal_init()對DPDK 底層結(jié)構進行初始化，完成的工作有 hugepage 初始化、mbuf_pool 創(chuàng)建、pci設備驅(qū)動加載等，同時完pc地址空間至用戶空間的映射。main函數(shù)里重要的是啟動多核運行環(huán)境，RTE_LCORE_FOREACH_SLAVE（lcore_id）如名所示，遍歷所有EAL指定可以使用的lcore，然后通過rte_eal_remote_launch在每個lcore上，啟動被指定的線程。rte_eal_remote_launch中的第一個參數(shù)指定了要執(zhí)行的處理函數(shù)main_loop。

圖2 DPDK主要模塊分解圖

圖3 控制進程執(zhí)行流程圖

3.2 數(shù)據(jù)進程流程。數(shù)據(jù)處理流程主要從從線程執(zhí)行main_ loop（）的主要步驟如下：

1）讀取自己的lcore信息完成配置；

2）讀取關聯(lián)的接收與發(fā)送隊列信息；

3）進入循環(huán)處理：

{

向指定隊列批量發(fā)送報文；

從指定隊列批量接收報文；

批量轉(zhuǎn)發(fā)接收到報文：l3fwd_lpm_send_packets；

}

在循環(huán)中批量轉(zhuǎn)發(fā)報文，進入轉(zhuǎn)發(fā)報文的函數(shù)l3fwd_lpm_ send_packets。在l3fwd_lpm_send_packets會依次處理從網(wǎng)口接收的每一個報文，獲取報文的rte_mbuf結(jié)構并從中取出報文的源MAC、目的MAC、源IP、目的IP、源端口、目的端口、接收序列號和確認序列號等。如果目標IP為要訪問的目標服務器的IP，且源IP不在白名單中或者白名單過期，則取出報文的數(shù)據(jù)部分，通過Hyperscan對該數(shù)據(jù)部分進行匹配，找到符合條件的報文，之后偽造一個服務器響應的數(shù)據(jù)包，要求源IP對應的客戶端輸入驗證碼。其中通過Hyperscan可以設置多種匹配規(guī)則，每次匹配到一個正則表達式，就會觸發(fā)Hyperscan提供給用戶自定義的回調(diào)函數(shù)中，在該回調(diào)函數(shù)中，根據(jù)匹配到的不同的正則表達式，采取不同的行為。對于沒有通過認證的要求其輸入驗證碼，對于報文中含有違法關鍵字進行丟包，對于通過驗證的直接放行轉(zhuǎn)發(fā)出去等。

驗證碼的生成，利用DPDK的庫函數(shù)，通過數(shù)據(jù)包的源IP哈希生成一個驗證碼。驗證碼生成之后，通過后臺偽造一個HTML輸入驗證碼的頁面構造相應的偽造目標服務器回應的數(shù)據(jù)包并返回給客戶端。如果客戶端提交的數(shù)據(jù)中含有驗證碼，則通過比對判斷掩碼是否輸入正確。在輸入正確的情況下且驗證碼還沒有過期，就把該源IP加入白名單并記錄下加入的時間。否則一直向該客戶反彈驗證碼輸入的頁面，直到其成功輸入為止或者超過一定的閾值之后就禁用該源IP一定時間。

4 結(jié)束語

本文提出基于Intel DPDK和Hyperscan的網(wǎng)絡安全防御方案。Intel DPDK 開源套件實現(xiàn)高性能數(shù)據(jù)包分析處理系統(tǒng)的的設計，系統(tǒng)采用多核并行處理機制，采用一系列性能優(yōu)化措施，顯著提高了數(shù)據(jù)包處理性能。Hyperscan采用混合自動機技術，在正則表達式的匹配性能和數(shù)量上都遠遠高于采用單一算法實現(xiàn)的正則表達式引擎。本文生成驗證碼的部門比較容易被識別出來，在接下來的工作中，如何提高驗證碼的安全性使其難以被第三方工具識別是后續(xù)研究的重點。

[1] http://dpdk.org/

[2] https://01.org/zh/hyperscan?langredirect=1

[3] 朱河清. 深入淺出DPDK[M]. 北京: 機械工業(yè)出版社, 2016-5.

[4] 何佳偉，江舟. 基于 Intel DPDK 的高性能網(wǎng)絡安全審計方案設計[J]. 電子測試，2016

Intel DPDK and Hyperscan network defense system

Zhao Xutao
(UESTC,Chengdou Sichuan,611731)

The number of the concurrent user is dramatic increasing,which increases consumption of server resources.Thus,a network security defense system based on Intel DPDK and Hyperscan is proposed in this paper in response to solve the problem.The network packets will be verified when they though the gateway,which can effectively avoid DDoS attack and ease the pressure of server.

DPDK;Hyperscan; HTTP DDoS;Network security