Gatekeeper 是一個(gè)開源 DoS 防護(hù)系統(tǒng)。它旨在擴(kuò)展到任何峰值帶寬，因此它可以抵抗當(dāng)今和未來(lái)的 DoS 攻擊。盡管 Gatekeeper 具有地理上分散的體系結(jié)構(gòu)，但對(duì)傳入流量執(zhí)行的所有決策的網(wǎng)絡(luò)策略必須集中描述。這種集中化策略使網(wǎng)絡(luò)運(yùn)營(yíng)商可以利用在非常高的延遲下不可行的分布式算法（例如分布式數(shù)據(jù)庫(kù)），并立即應(yīng)對(duì)多種多向量 DoS 攻擊。

工作方式

Gatekeeper 具有兩個(gè)組件：Gatekeeper 服務(wù)器和 Grantor 服務(wù)器。 Gatekeeper 服務(wù)器部署在整個(gè)Internet上的優(yōu)勢(shì)點(diǎn)（VP）位置，所有 Gatekeeper 服務(wù)器的聚合帶寬使 Gatekeeper 部署可以擴(kuò)展其傳入帶寬以匹配 DoS 攻擊的峰值帶寬。 Gatekeeper 服務(wù)器使用 BGP 宣布受其保護(hù)的網(wǎng)絡(luò)前綴。因此，每個(gè)流量源都綁定到一個(gè)VP。

Gatekeeper 服務(wù)器的主要功能是對(duì)流執(zhí)行網(wǎng)絡(luò)策略。流由源 IP 地址和目標(biāo) IP 地址對(duì)定義。策略決策的一個(gè)示例是允許 IP 地址 A 以 1Gbps 或更低的速率向 IP 地址 B 發(fā)送數(shù)據(jù)包。如果 Gatekeeper 服務(wù)器沒有指定策略，則將在其流表中制定一項(xiàng)策略決策，以強(qiáng)制執(zhí)行任何給定流。它使用 IP-in-IP 封裝該流的數(shù)據(jù)包，根據(jù)給定流的速率為封裝的數(shù)據(jù)包分配優(yōu)先級(jí)（較高的優(yōu)先級(jí)表示較低的速率），然后通過(guò)請(qǐng)求通道轉(zhuǎn)發(fā)該數(shù)據(jù)包。請(qǐng)求通道保留了從 Gatekeeper 服務(wù)器到負(fù)責(zé)策略決策的 Grantor 服務(wù)器的路徑帶寬的 5％。每當(dāng)在請(qǐng)求通道中轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器由于帶寬有限而需要丟棄數(shù)據(jù)包時(shí)，都會(huì)丟棄其隊(duì)列中優(yōu)先級(jí)最低的數(shù)據(jù)包。

?

網(wǎng)絡(luò)策略是在 Grantor 服務(wù)器上運(yùn)行的 Lua 腳本。Grantor 服務(wù)器位于受保護(hù)的目標(biāo)附近；通常在目標(biāo)的同一數(shù)據(jù)中心中（可以將 Grantor 服務(wù)器部署在其他位置，甚至可以采用任播方式到達(dá)不同的目的地，但是在這里為簡(jiǎn)單起見，我們假設(shè)目的地前綴部署在單個(gè)數(shù)據(jù)中心中）。 授權(quán)者服務(wù)器負(fù)責(zé)對(duì)請(qǐng)求通道中的每個(gè)流做出策略決策。這些策略決策將發(fā)送到相應(yīng)的 Gatekeeper 服務(wù)器以執(zhí)行它們。

在將策略決策安裝到 Gatekeeper 服務(wù)器中時(shí)，合法發(fā)送者的流將移至許可的通道，在該通道中，帶寬將根據(jù)策略進(jìn)行分配。同樣，識(shí)別出的惡意主機(jī)也會(huì)被阻止。反過(guò)來(lái)，這將減少合法流量在請(qǐng)求通道上等待所經(jīng)歷的延遲。 總而言之，Gatekeeper 部署由多個(gè)有利位置組成，這些有利位置在受保護(hù)的網(wǎng)絡(luò)周圍形成了屏蔽。授予者服務(wù)器位于屏蔽內(nèi)部，但在數(shù)據(jù)包的最終目的地之前，它們運(yùn)行網(wǎng)絡(luò)策略來(lái)決定所有傳入流量的命運(yùn)。策略決策安裝在 Gatekeeper 服務(wù)器上，這些服務(wù)器強(qiáng)制執(zhí)行這些策略決策。

安裝要求

• 大頁(yè)面配置

  $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages
  

?運(yùn)行命令

$ sudo systemctl start gatekeeper
$ sudo systemctl enable gatekeeper

設(shè)置環(huán)境變量

$ echo "export RTE_SDK=${RTE_SDK}" >> ${HOME}/.profile
$ echo "export RTE_TARGET=${RTE_TARGET}" >> ${HOME}/.profile

?