2018 Fiscal Year Research-status Report
Design of a Scalable Access Control List for DDoS Mitigation
| Project/Area Number |
18K18043
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
空閑 洋平 東京大学, 情報基盤センター, 特任講師 (90816597)
|
|---|
| Project Period (FY) |
2018-04-01 – 2020-03-31
|
| Keywords | DDoS緩和 / ACL / FPGA / ページテーブル |
|---|
| Outline of Annual Research Achievements |
データセンタにおけるDDoS対策には,柔軟かつ大量のフィルタルールを記述可能なソフトウェアによる対策と,フィルタルールが比較的単純だが高帯域なトラフィックに対応できるハードウェアによる対策の両方による緩和技術が必要となる.本研究では,ソフトウェアによる柔軟なフィルタルールを展開可能なハードウェアDDoS緩和アーキテクチャを検討するために,NIC型デバイスがサーバメインメモリにDMAしてフィルタルールを展開する方法を検討した.
NIC型デバイスによるDMAを用いたメインメモリの操作は,NICに搭載可能なメモリ容量を操作することに比べて,より広大なメモリ空間が利用できることが利点だが,フィルタルールを保持するためのデータ構造が課題になる.そこで,本研究ではCPUとOSのメモリ管理を参考に,IPv4アドレスを32bitのメモリアドレスに見立て,IPv4アドレスをキーにしたページテーブルを用いたACLフィルタルールの保持手法を提案した.本提案手法は,ネットワーク上のインラインで動作し,入力されたトラフィックのパケットごとにフィルタルールを検索し,出力アクションを決定するオンライン処理を行う.ソフトウェアによるシミュレーション実装により,2段ページテーブル構造で8GBのサーバ上のメインメモリで655KエントリのACLルールが保持可能なことを確認した.本成果によって,IPv4アドレスをキーにした大規模ACLルール保持のためのデータ構造,そしてページテーブルによる保持が必要ないルールに関するメモリ空間の節約が可能になる.この結果については.電子情報通信学会インターネットアーキテクチャ研究会で発表した.
|
| Current Status of Research Progress |
Current Status of Research Progress
3: Progress in research has been slightly delayed.
Reason
本提案アーキテクチャの評価には,PCIeデバイスを用いたDMAアクセスによるホストメモリの読み書き機能が必要になる.本手法には,PCIeアクセス遅延とDRAMアクセス遅延両方を考慮したハードウェアパイプラインを検討する必要があるが,プロトタイプ実装の性能チューニングが難しく,進捗が予定より遅れている.
|
| Strategy for Future Research Activity |
ハードウェアによるDDoS緩和アーキテクチャに関連して,効率の良いPCIe通信を行うためのPCIeパケット観察と生成環境が必要だと考え,システムの実装を行っている.
こちらについてはすでにアーキテクチャ検討,プロトタイプ実装が完了しているため,本成果は,今年7月の国内研究会での発表と9月の国際会議への投稿を予定している.
|
| Causes of Carryover |
当初予定していた実験物品が販売終了したため,値段が安い別製品を購入したこと,また,学術向けの購入額になったため,当初の予定より機材購入費が減少した.次年度の使用計画については,システムの大規模評価実験用の機材購入と会議参加費用に利用する.
|
