|
|
Packet Filtering Using XDP
Mackovič, Jakub ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
Počítačové systémy, ktoré musia poskytovať svoje služby s vysokou dostupnosťou vyžadujú isté bezpečnostné opatrenia na to, aby ostali dostupné aj pod paketovými sieťovými útokmi. Nevyžiadané pakety musia byť zahodené čo najskôr a čo najrýchlejšie. Táto práca analyzuje eXpress Data Path (XDP) ako techniku skorého zahodenia paketov a extended Berkeley Packet Filter (eBPF) ako mechanizmus rýchlej analýzy obsahu packetov. Poskytuje sa pohľad na dnešnú prax v oblasti firewallov v systémoch s linuxovým jadrom a navrhne sa systém rýchlej filtrácie paketov založený na eBPF a XDP. Do detailov popisujeme naimplementované filtračné riešenie. Nakoniec sa vyzdvihujú výhody XDP oproti ostatným súčasným technikám filtrácie paketov na sérii výkonnostných testov.
|
|
|
Automation of DDoS Attack Mitigation
Nagy, Peter ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
The aim of this thesis is automation of DDoS attack mitigation. This thesis provides an overview of GNU/Linux network platforms and different approaches for their configuration. The aim is to select a platform that could be extended to automate DDoS mitigation. DDoS attack types are explained as well. Selected methods for DDoS mitigation are described in more detail such as Remote Triggered Black Hole and BGP Flowspec. Existing tools like DDoS Defender and FastNetMon are used to detect a DDoS attack. NETX was chosen as target implementation platform. To communicate with devices, API or BGP protocol with Flowspec extension are used.
|
|
|
Zero Copy Packet Processing
Plotěný, Ondřej ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
Cílem této magisterské práce je návrh a implementace síťové sondy pro sledování toků na 10GbE rozhraní. Text se zabývá přehledem GNU/Linux nástrojů využívaných ve vysokorychlostních sítích a principů jejich fungování. Dále pak je uveden návrh a implementace sondy využívající mechanismu zero-copy pro sledování provozu na 10GbE rozhraní. Aplikace využívá Expresní datové cesty (XDP) a jeho AF_XDP soketu pro zachycení provozu na rozhraní. Jako testovací platforma byla vybrána platforma NETX používaná na FIT VUT.
|
|
|
NAT64 Performance Evaluation
Pokorný, Jan ; Veselý, Vladimír (referee) ; Grégr, Matěj (advisor)
Tato práce se zabývá problematikou přechodu mezi IP protokolem verze 4 a IP protokolem verze 6. Přechod je možné řešit více mechanismy a tato práce je zaměřená na přechodový mechanismus Stateful NAT64. Cílem práce je otestovat různé implementace NAT64 a najít vhodnou implementaci pro router NETX. Za cíl bylo stanoveno najít implementaci, která bude dosahovat propustnosti 10 Gbps. Několik NAT64 implementací bylo zkoumáno v testovacím prostředí. Měření probíhalo pomocí nástrojů Iperf a PF_Ring. Bylo změřeno několik různých druhů síťového provozu tak, aby bylo z výsledku patrné, jaký výkonnostní dopad má každá z testovaných implementací. Z naměřených výsledků Jool vyšlo jako nejvhodnější NAT64 řešení. Jool splnil požadovanou propustnost a zároveň kromě stále aktivního vývoje nabízí i další pokročilé vlastnosti. Jool byl integrován do routeru NETX. Byla navrhnuta struktura příkazové řádky pro manipulaci s Jool instancí, která byla posléze implementována jako rozšíření NETX příkazové řádky. Dále byl vytvořen postup distribuce potřebných balíčku skrze balíčkovácí systém RPM, tak aby zapadl do automatizovaného systému platformy NETX.Výsledkem práce je plná podpora přechodového mechanismu NAT64 na platformě NETX dosahující propustnosti blízké 10 Gbps.
|
|
|
NAT64 Performance Evaluation
Pokorný, Jan ; Veselý, Vladimír (referee) ; Grégr, Matěj (advisor)
Tato práce se zabývá problematikou přechodu mezi IP protokolem verze 4 a IP protokolem verze 6. Přechod je možné řešit více mechanismy a tato práce je zaměřená na přechodový mechanismus Stateful NAT64. Cílem práce je otestovat různé implementace NAT64 a najít vhodnou implementaci pro router NETX. Za cíl bylo stanoveno najít implementaci, která bude dosahovat propustnosti 10 Gbps. Několik NAT64 implementací bylo zkoumáno v testovacím prostředí. Měření probíhalo pomocí nástrojů Iperf a PF_Ring. Bylo změřeno několik různých druhů síťového provozu tak, aby bylo z výsledku patrné, jaký výkonnostní dopad má každá z testovaných implementací. Z naměřených výsledků Jool vyšlo jako nejvhodnější NAT64 řešení. Jool splnil požadovanou propustnost a zároveň kromě stále aktivního vývoje nabízí i další pokročilé vlastnosti. Jool byl integrován do routeru NETX. Byla navrhnuta struktura příkazové řádky pro manipulaci s Jool instancí, která byla posléze implementována jako rozšíření NETX příkazové řádky. Dále byl vytvořen postup distribuce potřebných balíčku skrze balíčkovácí systém RPM, tak aby zapadl do automatizovaného systému platformy NETX.Výsledkem práce je plná podpora přechodového mechanismu NAT64 na platformě NETX dosahující propustnosti blízké 10 Gbps.
|
|
|
Packet Filtering Using XDP
Mackovič, Jakub ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
Počítačové systémy, ktoré musia poskytovať svoje služby s vysokou dostupnosťou vyžadujú isté bezpečnostné opatrenia na to, aby ostali dostupné aj pod paketovými sieťovými útokmi. Nevyžiadané pakety musia byť zahodené čo najskôr a čo najrýchlejšie. Táto práca analyzuje eXpress Data Path (XDP) ako techniku skorého zahodenia paketov a extended Berkeley Packet Filter (eBPF) ako mechanizmus rýchlej analýzy obsahu packetov. Poskytuje sa pohľad na dnešnú prax v oblasti firewallov v systémoch s linuxovým jadrom a navrhne sa systém rýchlej filtrácie paketov založený na eBPF a XDP. Do detailov popisujeme naimplementované filtračné riešenie. Nakoniec sa vyzdvihujú výhody XDP oproti ostatným súčasným technikám filtrácie paketov na sérii výkonnostných testov.
|
|
|
Zero Copy Packet Processing
Plotěný, Ondřej ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
Cílem této magisterské práce je návrh a implementace síťové sondy pro sledování toků na 10GbE rozhraní. Text se zabývá přehledem GNU/Linux nástrojů využívaných ve vysokorychlostních sítích a principů jejich fungování. Dále pak je uveden návrh a implementace sondy využívající mechanismu zero-copy pro sledování provozu na 10GbE rozhraní. Aplikace využívá Expresní datové cesty (XDP) a jeho AF_XDP soketu pro zachycení provozu na rozhraní. Jako testovací platforma byla vybrána platforma NETX používaná na FIT VUT.
|
|
|
Automation of DDoS Attack Mitigation
Nagy, Peter ; Podermański, Tomáš (referee) ; Grégr, Matěj (advisor)
The aim of this thesis is automation of DDoS attack mitigation. This thesis provides an overview of GNU/Linux network platforms and different approaches for their configuration. The aim is to select a platform that could be extended to automate DDoS mitigation. DDoS attack types are explained as well. Selected methods for DDoS mitigation are described in more detail such as Remote Triggered Black Hole and BGP Flowspec. Existing tools like DDoS Defender and FastNetMon are used to detect a DDoS attack. NETX was chosen as target implementation platform. To communicate with devices, API or BGP protocol with Flowspec extension are used.
|
guest ::
