Linux Piter #3 / Александр Крижановский: "Стек HTTPS/TCP/IP для защиты от DDoS атак" / Санкт-Петербург, Россия / 3 ноября 2017 - 4 ноября 2017

Александр Крижановский: "Стек HTTPS/TCP/IP для защиты от DDoS атак"

Описание
Стек HTTPS/TCP/IP для защиты от DDoS атак
Как правило, защита от HTTP DDoS атак строится на HTTP балансировщиках нагрузки. Но стандартный интерфейс сокетов Linux, используемый такими решениями, не предоставляет адекватной производительности для нагрузок, оказываемы DDoS атаками.
Становятся популярнее HTTP сервера на основе user-space TCP/IP стеков благодаря более высокой производительности относительно традиционных решений. TCP/IP стек же представляет собой довольно большой и сложный код, который не хочется писать дважды и не выгодно запускть два его представления в пользовательском и ядерном пространствах. Более того, TCP/IP стек
интегрируется с большим числом утилит, таких как IPTables, IPVS, tc, tcpdump. Эти утилиты становятся недоступными для user-space TCP/IP стека или требуют сложных интерфейсов.
В этом докладе будет рассказано про Tempesta FW [1], которая вносит обработку HTTPS в ядро Linux. HTTPS встраивается в TCP/IP стек. Как HTTP фаервол, Tempesta FW реализует богатый набор средств для защиты от HTTPS флудов, медленных HTTP атак и некоторых Web атак. Так же релизован HTTP Cookie челендж, а JavaScript челендж и некоторые более продвинутые методы защиты от DDoS атак находятся в процессе разработки.
Довольно популярным типом DDoS атак является атака на установление соединений TLS. Внесение TLS хендшейка в ядро позволяет сократить ресурсы, затрачиваемые на установление соединения. Хотя TLS тоже является довольно сложным и объемным кодом, он не требует сложных синхронизационных примитивов и механизмов упаравления памятью. У нас процесс портирования TLS [2] в ядро Linux со всеми HTTPS интерфейсами занял всего 1 человеко-месяц. Таким образом, проще внести TLS в ядро, чем вынести TCP/IP стек в пользовательское пространство.
Для облегчения HTTP логики в ядре, мы предлагаем эффективный zero-copy kernel-user space транспорт для HTTP сообщений. Например, HTTP компрессия, которая не является критичной HTTP опрацией, рассматривается для вынесения к пользовательский контекст через этот интерфейс.
Замеры производительности Tempesta FW [3] показывают, что она обрабатывает HTTP сообщения так же быстро, как и быстрейшие HTTP сервера на основе user-space TCP/IP стеков. Таким образом, обход ядра ОС не является единственным путем получения быстрого Web сервера.
[1]. Tempesta FW's source code, https://github.com/tempesta-tech/tempesta
[2]. mbed TLS, https://tls.mbed.org/
[3]. https://github.com/tempesta-tech/tempesta/wiki/HTTP-cache-performance
 
 
Александр Крижановский
USA. Seattle
CEO
Tempesta Technologies Inc.
Александр является основателем и Генеральным директором Темпеста Текнолоджиз и главным разработчиком Tempesta FW. Также он является основателем и Генеральным директором Лаборатории НатСис, компании специализирующейся в консалтинге в области высокопроизводительных вычислений в Linux/x86-64. Александр имеет более 10 лет опыта в разработке в ядре Linux.
Расскажите друзьям
Добавьте в свой календарь
Организатор
Одновременно с Linux Piter состоится конференция Piter Py
Со-организатор
Генеральный спонсор
Спонсоры
Партнеры
Travel-партнеры
Видео-партнер
Информационные партнеры
Хештег события
#LinuxPiter
Событие в социальных сетях
Контакты организаторов
По вопросам участия
Диана Любавская
+7-981-846-44-58
diana@it-events.com
По вопросам выступления
Ирина Сарибекова
+7-921-903-45-17
irina@it-events.com
Обсудить свой доклад
Программный комитет конференции
org@linuxpiter.com

Поздравляем!

Вы успешно подписались на нашу рассылку.