Gatekeeper 是一個開源 DoS 防護(hù)系統(tǒng)。它旨在擴(kuò)展到任何峰值帶寬，因此它可以抵抗當(dāng)今和未來的 DoS 攻擊。盡管 Gatekeeper 具有地理上分散的體系結(jié)構(gòu)，但對傳入流量執(zhí)行的所有決策的網(wǎng)絡(luò)策略必須集中描述。這種集中化策略使網(wǎng)絡(luò)運(yùn)營商可以利用在非常高的延遲下不可行的分布式算法（例如分布式數(shù)據(jù)庫），并立即應(yīng)對多種多向量 DoS 攻擊。

工作方式

Gatekeeper 具有兩個組件：Gatekeeper 服務(wù)器和 Grantor 服務(wù)器。 Gatekeeper 服務(wù)器部署在整個Internet上的優(yōu)勢點(diǎn)（VP）位置，所有 Gatekeeper 服務(wù)器的聚合帶寬使 Gatekeeper 部署可以擴(kuò)展其傳入帶寬以匹配 DoS 攻擊的峰值帶寬。 Gatekeeper 服務(wù)器使用 BGP 宣布受其保護(hù)的網(wǎng)絡(luò)前綴。因此，每個流量源都綁定到一個VP。

Gatekeeper 服務(wù)器的主要功能是對流執(zhí)行網(wǎng)絡(luò)策略。流由源 IP 地址和目標(biāo) IP 地址對定義。策略決策的一個示例是允許 IP 地址 A 以 1Gbps 或更低的速率向 IP 地址 B 發(fā)送數(shù)據(jù)包。如果 Gatekeeper 服務(wù)器沒有指定策略，則將在其流表中制定一項(xiàng)策略決策，以強(qiáng)制執(zhí)行任何給定流。它使用 IP-in-IP 封裝該流的數(shù)據(jù)包，根據(jù)給定流的速率為封裝的數(shù)據(jù)包分配優(yōu)先級（較高的優(yōu)先級表示較低的速率），然后通過請求通道轉(zhuǎn)發(fā)該數(shù)據(jù)包。請求通道保留了從 Gatekeeper 服務(wù)器到負(fù)責(zé)策略決策的 Grantor 服務(wù)器的路徑帶寬的 5％。每當(dāng)在請求通道中轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器由于帶寬有限而需要丟棄數(shù)據(jù)包時，都會丟棄其隊(duì)列中優(yōu)先級最低的數(shù)據(jù)包。

?

網(wǎng)絡(luò)策略是在 Grantor 服務(wù)器上運(yùn)行的 Lua 腳本。Grantor 服務(wù)器位于受保護(hù)的目標(biāo)附近；通常在目標(biāo)的同一數(shù)據(jù)中心中（可以將 Grantor 服務(wù)器部署在其他位置，甚至可以采用任播方式到達(dá)不同的目的地，但是在這里為簡單起見，我們假設(shè)目的地前綴部署在單個數(shù)據(jù)中心中）。 授權(quán)者服務(wù)器負(fù)責(zé)對請求通道中的每個流做出策略決策。這些策略決策將發(fā)送到相應(yīng)的 Gatekeeper 服務(wù)器以執(zhí)行它們。

在將策略決策安裝到 Gatekeeper 服務(wù)器中時，合法發(fā)送者的流將移至許可的通道，在該通道中，帶寬將根據(jù)策略進(jìn)行分配。同樣，識別出的惡意主機(jī)也會被阻止。反過來，這將減少合法流量在請求通道上等待所經(jīng)歷的延遲。 總而言之，Gatekeeper 部署由多個有利位置組成，這些有利位置在受保護(hù)的網(wǎng)絡(luò)周圍形成了屏蔽。授予者服務(wù)器位于屏蔽內(nèi)部，但在數(shù)據(jù)包的最終目的地之前，它們運(yùn)行網(wǎng)絡(luò)策略來決定所有傳入流量的命運(yùn)。策略決策安裝在 Gatekeeper 服務(wù)器上，這些服務(wù)器強(qiáng)制執(zhí)行這些策略決策。

安裝要求

• 大頁面配置

  $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages
  

?運(yùn)行命令

$ sudo systemctl start gatekeeper
$ sudo systemctl enable gatekeeper

設(shè)置環(huán)境變量

$ echo "export RTE_SDK=${RTE_SDK}" >> ${HOME}/.profile
$ echo "export RTE_TARGET=${RTE_TARGET}" >> ${HOME}/.profile

?