seccamp2018_Z4_DPDK_FW

Z4 DPDKを用いた圧倒的高速なファイアウォールの実装 @AG0D0R1RV

作成したもの DPDKを用いたFW 5tuple filter(ip-src/ip-dst/ip-protocol/port-src/port-dst)で決められたパケットを通過させないようdropする • pcapを読み込んで、パケットをfilterして、特定のパケットを一つのpcapに書き出すプログラム • DPDKのブリッジを改造して、filterしてmatchしたものをdrop
するプログラム

DPDKとは？ DPDK…Data Plane Development Kit ネットワーク処理を高速化するC言語のライブラリ（ルーターやプロトコルスタックではない）・Official site www.dpdk.org

DPDKの動作 user space linux DPDK linux kernel NIC user space
linux kernel NIC ・kernelをバイパス・CPUを占有(polling)

[pcap]パケットフィルタリングの性能改善 0 20000000 40000000 60000000 80000000 100000000 120000000 140000000 strcmp
no strcmp log出力なし処理時間

[DPDK]パケット転送速度改善 (1filter) 0 2000 4000 6000 8000 10000 12000 log出力あり
高速化なしlog出力なし高速化ありlog出力なし filterなし処理速度 [Mbits/s]

測定結果

今後の課題（開発を続けていく予定） • 壊れたパケットの処理の実装 • IP headerのoptionの解析 • CUIをかっこよくしたい • フィルターの条件を変えられるように変更

セキュキャン△感想 • 楽しい(治安悪い) • Zトラック圧倒的受講生密着型(一対一)

seccamp2018_Z4_DPDK_FW

seccamp2018_Z4_DPDK_FW

agodoriru

More Decks by agodoriru

Other Decks in Programming

Featured

Transcript

Z4 DPDKを用いた圧倒的高速なファイアウォールの実装 @AG0D0R1RV

DPDKとは？ DPDK…Data Plane Development Kit ネットワーク処理を高速化するC言語のライブラリ（ルーターやプロトコルスタックではない）・Official site www.dpdk.org

DPDKの動作 user space linux DPDK linux kernel NIC user space

[pcap]パケットフィルタリングの性能改善 0 20000000 40000000 60000000 80000000 100000000 120000000 140000000 strcmp

[DPDK]パケット転送速度改善 (1filter) 0 2000 4000 6000 8000 10000 12000 log出力あり

測定結果

今後の課題（開発を続けていく予定） • 壊れたパケットの処理の実装 • IP headerのoptionの解析 • CUIをかっこよくしたい • フィルターの条件を変えられるように変更

セキュキャン△感想 • 楽しい(治安悪い) • Zトラック圧倒的受講生密着型(一対一)