2019 Fiscal Year Annual Research Report
Design of a Scalable Access Control List for DDoS Mitigation
| Project/Area Number |
18K18043
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
空閑 洋平 東京大学, 情報基盤センター, 特任講師 (90816597)
|
|---|
| Project Period (FY) |
2018-04-01 – 2020-03-31
|
| Keywords | DDoS緩和 / ACL / FPGA / PCI Express |
|---|
| Outline of Annual Research Achievements |
本研究は,ソフトウェアの柔軟なルール記述とハードウェアによる広帯域なDDoS対策手法として,ホストメモリにDMAでフィルタルールを保持するNIC型DDoSデバイスのアーキテクチャ検討を実施している.昨年度は,その基礎となるページテーブル方式によるDRAM上へのACLルールの展開方法を検討した.今年度は,NICとホストメモリ間でのデータ通信に用いるPCI Express (PCIe)を利用したDMA通信の最適化手法を検討するため,PCIeデバイスのソフトウェアによるプロトタイプ環境のアーキテクチャ検討を実施した.
本提案手法は,PCIe通信がパケットベースのプロトコルであることに着目し,PCieのパケットであるTLPをEthernet,IPヘッダでカプセル化し,外部ネットワークと送受信する専用デバイスを設計した.結果,IPネットワークとPCIeトポロジがブリッジされ,外部ホストからIPネットワークプログラミングでPCIeの通信を制御可能になる.本研究では,実際にFPGA開発ボードを用いて提案デバイスを開発し,TLPとIPパケットが直接変換可能なことを確認した.結果,任意のPCIeデバイスをソフトウェアプロセスとしてプロトタイプ可能にした.本研究の評価では,実際のPCIeデバイスと同様の通信が可能なNIC,ハードウェアによるプロセス監視デバイスをLinuxプロセスとしてソフトウェアでプロトタイプ可能なことを示した.本研究によって,本来HDLなどのハードウェア記述言語が必要だったPCIeデバイスのプロトタイプをネットワークプログラミングを用いて可能にした.
本成果は,情報処理学会システムソフトウェアとオペレーティング・システム研究会で手法提案を実施,USENIX NSDI20でユースケースを含めた評価結果を発表した.
|
