当前位置:
X-MOL 学术
›
IEEE Trans. Netw. Serv. Manag.
›
论文详情
Our official English website, www.x-mol.net, welcomes your feedback! (Note: you will need to create a separate account there.)
In-Network Volumetric DDoS Victim Identification Using Programmable Commodity Switches
IEEE Transactions on Network and Service Management ( IF 5.3 ) Pub Date : 2021-04-15 , DOI: 10.1109/tnsm.2021.3073597 Damu Ding , Marco Savi , Federico Pederzolli , Mauro Campanella , Domenico Siracusa
IEEE Transactions on Network and Service Management ( IF 5.3 ) Pub Date : 2021-04-15 , DOI: 10.1109/tnsm.2021.3073597 Damu Ding , Marco Savi , Federico Pederzolli , Mauro Campanella , Domenico Siracusa
Volumetric distributed Denial-of-Service (DDoS) attacks have become one of the most significant threats to modern telecommunication networks. However, most existing defense systems require that detection software operates from a centralized monitoring collector, leading to increased traffic load and delayed response. The recent advent of Data Plane Programmability (DPP) enables an alternative solution: threshold-based volumetric DDoS detection can be performed directly in programmable switches to skim only potentially hazardous traffic, to be analyzed in depth at the controller. In this paper, we first introduce the BACON data structure based on sketches, to estimate per-destination flow cardinality, and theoretically analyze it. Then we employ it in a simple in-network DDoS victim identification strategy, INDDoS, to detect the destination IPs for which the number of incoming connections exceeds a pre-defined threshold. We describe its hardware implementation on a Tofino-based programmable switch using the domain-specific P4 language, proving that some limitations imposed by real hardware to safeguard processing speed can be overcome to implement relatively complex packet manipulations. Finally, we present some experimental performance measurements, showing that our programmable switch is able to keep processing packets at line-rate while performing volumetric DDoS detection, and also achieves a high F1 score on DDoS victim identification.
中文翻译:
使用可编程商品交换机的网络内体积 DDoS 受害者识别
体积分布式拒绝服务 (DDoS) 攻击已成为现代电信网络面临的最重大威胁之一。然而,大多数现有的防御系统要求检测软件从集中监控收集器运行,从而导致流量负载增加和响应延迟。最近出现的数据平面可编程性 (DPP) 提供了一种替代解决方案:可以直接在可编程交换机中执行基于阈值的体积 DDoS 检测,以仅略读具有潜在危险的流量,以便在控制器上进行深入分析。在本文中,我们首先介绍了基于草图的 BACON 数据结构,以估计每个目的地的流量基数,并对其进行理论分析。然后我们在一个简单的网络内 DDoS 受害者识别策略 INDDoS 中使用它,检测传入连接数超过预定义阈值的目标 IP。我们使用特定于域的 P4 语言在基于 Tofino 的可编程交换机上描述其硬件实现,证明可以克服由真实硬件强加的一些限制来保护处理速度,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。证明可以克服真实硬件为保障处理速度而施加的一些限制,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。证明可以克服真实硬件为保障处理速度而施加的一些限制,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。
更新日期:2021-06-11
中文翻译:
使用可编程商品交换机的网络内体积 DDoS 受害者识别
体积分布式拒绝服务 (DDoS) 攻击已成为现代电信网络面临的最重大威胁之一。然而,大多数现有的防御系统要求检测软件从集中监控收集器运行,从而导致流量负载增加和响应延迟。最近出现的数据平面可编程性 (DPP) 提供了一种替代解决方案:可以直接在可编程交换机中执行基于阈值的体积 DDoS 检测,以仅略读具有潜在危险的流量,以便在控制器上进行深入分析。在本文中,我们首先介绍了基于草图的 BACON 数据结构,以估计每个目的地的流量基数,并对其进行理论分析。然后我们在一个简单的网络内 DDoS 受害者识别策略 INDDoS 中使用它,检测传入连接数超过预定义阈值的目标 IP。我们使用特定于域的 P4 语言在基于 Tofino 的可编程交换机上描述其硬件实现,证明可以克服由真实硬件强加的一些限制来保护处理速度,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。证明可以克服真实硬件为保障处理速度而施加的一些限制,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。证明可以克服真实硬件为保障处理速度而施加的一些限制,以实现相对复杂的数据包操作。最后,我们展示了一些实验性能测量,表明我们的可编程交换机能够在执行体积 DDoS 检测的同时以线速处理数据包,并且在 DDoS 受害者识别方面也获得了高 F1 分数。
京公网安备 11010802027423号