seccamp2018_Z4_DPDK_FW

Transcript

1. Z4 DPDKを用いた 圧倒的高速なファイアウォールの実装 @AG0D0R1RV

2. 作成したもの DPDKを用いたFW 5tuple filter(ip-src/ip-dst/ip-protocol/port-src/port-dst)で 決められたパケットを通過させないようdropする • pcapを読み込んで、パケットをfilterして、特定のパケットを 一つのpcapに書き出すプログラム • DPDKのブリッジを改造して、filterしてmatchしたものをdrop

   するプログラム

3. DPDKとは？ DPDK…Data Plane Development Kit ネットワーク処理を高速化するC言語のライブラリ （ルーターやプロトコルスタックではない） ・Official site www.dpdk.org

4. DPDKの動作 user space linux DPDK linux kernel NIC user space

   linux kernel NIC ・kernelをバイパス ・CPUを占有(polling)

5. [pcap]パケットフィルタリングの性能改善 0 20000000 40000000 60000000 80000000 100000000 120000000 140000000 strcmp

   no strcmp log出力なし 処 理 時 間

6. [DPDK]パケット転送速度改善 (1filter) 0 2000 4000 6000 8000 10000 12000 log出力あり

   高速化なしlog出力なし 高速化ありlog出力なし filterなし 処 理 速 度 [Mbits/s]

7. 測定結果

8. 今後の課題（開発を続けていく予定） • 壊れたパケットの処理の実装 • IP headerのoptionの解析 • CUIをかっこよくしたい • フィルターの条件を変えられるように変更

9. セキュキャン△感想 • 楽しい(治安悪い) • Zトラック圧倒的受講生密着型(一対一)