Gatekeeper 正在参加 2020 年度 OSC 中国开源项目评选,请投票支持!
Gatekeeper 在 2020 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
投票让它出道
已投票
Gatekeeper 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」 !
Gatekeeper 获得 2020 年度 OSC 中国开源项目评选「最佳人气项目」「最积极运营项目」 !
Gatekeeper 获得 2020 年度 OSC 中国开源项目评选「最积极运营项目」 !
授权协议 GPL-3.0
开发语言 C/C++ Lua 查看源码 »
操作系统 Linux
软件类型 开源软件
所属分类 管理和监控安全相关
开源组织
地区 不详
投 递 者 御坂弟弟
适用人群 未知
收录时间 2021-02-05

软件简介

Gatekeeper 是一个开源 DoS 防护系统。它旨在扩展到任何峰值带宽,因此它可以抵抗当今和未来的 DoS 攻击。尽管 Gatekeeper 具有地理上分散的体系结构,但对传入流量执行的所有决策的网络策略必须集中描述。这种集中化策略使网络运营商可以利用在非常高的延迟下不可行的分布式算法(例如分布式数据库),并立即应对多种多向量 DoS 攻击。

工作方式

Gatekeeper 具有两个组件:Gatekeeper 服务器和 Grantor 服务器。 Gatekeeper 服务器部署在整个Internet上的优势点(VP)位置,所有 Gatekeeper 服务器的聚合带宽使 Gatekeeper 部署可以扩展其传入带宽以匹配 DoS 攻击的峰值带宽。 Gatekeeper 服务器使用 BGP 宣布受其保护的网络前缀。因此,每个流量源都绑定到一个VP。

Gatekeeper 服务器的主要功能是对流执行网络策略。流由源 IP 地址和目标 IP 地址对定义。策略决策的一个示例是允许 IP 地址 A 以 1Gbps 或更低的速率向 IP 地址 B 发送数据包。如果 Gatekeeper 服务器没有指定策略,则将在其流表中制定一项策略决策,以强制执行任何给定流。它使用 IP-in-IP 封装该流的数据包,根据给定流的速率为封装的数据包分配优先级(较高的优先级表示较低的速率),然后通过请求通道转发该数据包。请求通道保留了从 Gatekeeper 服务器到负责策略决策的 Grantor 服务器的路径带宽的 5%。每当在请求通道中转发数据包的路由器由于带宽有限而需要丢弃数据包时,都会丢弃其队列中优先级最低的数据包。

网络策略是在 Grantor 服务器上运行的 Lua 脚本。Grantor 服务器位于受保护的目标附近;通常在目标的同一数据中心中(可以将 Grantor 服务器部署在其他位置,甚至可以采用任播方式到达不同的目的地,但是在这里为简单起见,我们假设目的地前缀部署在单个数据中心中)。 授权者服务器负责对请求通道中的每个流做出策略决策。这些策略决策将发送到相应的 Gatekeeper 服务器以执行它们。

在将策略决策安装到 Gatekeeper 服务器中时,合法发送者的流将移至许可的通道,在该通道中,带宽将根据策略进行分配。同样,识别出的恶意主机也会被阻止。反过来,这将减少合法流量在请求通道上等待所经历的延迟。 总而言之,Gatekeeper 部署由多个有利位置组成,这些有利位置在受保护的网络周围形成了屏蔽。授予者服务器位于屏蔽内部,但在数据包的最终目的地之前,它们运行网络策略来决定所有传入流量的命运。策略决策安装在 Gatekeeper 服务器上,这些服务器强制执行这些策略决策。

安装要求

  • 大页面配置
    $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages
    

 运行命令

$ sudo systemctl start gatekeeper
$ sudo systemctl enable gatekeeper

设置环境变量

$ echo "export RTE_SDK=${RTE_SDK}" >> ${HOME}/.profile
$ echo "export RTE_TARGET=${RTE_TARGET}" >> ${HOME}/.profile

 

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论 (4)

加载中
这个很久没更新了
04/06 12:15
回复
举报
没有个100G的带宽 都不好意思部署它
02/27 15:25
回复
举报
你懂的有点多喔 :)
04/18 00:46
回复
举报
这个可以有,ddos是公敌
02/22 16:34
回复
举报
更多评论
暂无内容
发表了博客
2016/09/10 20:51

Gatekeeper Pattern 把关(守门人)模式

Protect applications and services by using a dedicated host instance that acts as a broker between clients and the application or service, validates and sanitizes requests, and passes requests and data between them. This can provide an additional layer of security, and limit the attack surface of the system. 采用专用的主机实例,作为客户和应用程序或服务之间的代理保护的应用程序和服务,验证和清理的...

0
0
发表了博客
2019/04/10 10:10

Re-Architecting the Video Gatekeeper(一)

原文 https://medium.com/netflix-techblog/re-architecting-the-video-gatekeeper-f7b0ac2f6b00 本文介绍了了内容配置工程团队使用Hollow,一个Netflix OSS技术,重新架构与简化我们内容管道上的基础组件 - 在流程中交付巨大业务价值。 上下文 每个在Netflix服务上的电影和秀都被精心处理以提供最佳的观看体验。团队对处理主要负责标题运营(Title Operation)。标题运营会确认,除了: 我们确保合同符合规范 - 我们为每个标题配...

0
0
发表了博客
2020/08/17 23:54

OPA Gatekeeper 策略入门

Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理、安全方面的限制,本文将会从安装开始,介绍几条实用的小策略。 安装篇 安装可以通过 kubectl 来进行: $ kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml namespace/gate...

0
0
2020/09/21 07:15

OPA Gatekeeper 策略入门

Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理、安全方面的限制,本文将会从安装开始,介绍几条实用的小策略。 安装篇 安装可以通过 kubectl 来进行: $ kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml namespace/gate...

0
0
发表了博客
2020/08/18 13:01

OPA Gatekeeper策略入门

Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理、安全方面的限制,本文将会从安装开始,介绍几条实用的小策略。 安装篇 安装可以通过 kubectl 来进行: $ kubectl apply -f https://raw.githubusercontent.com/open-policy-agent/gatekeeper/master/deploy/gatekeeper.yaml namespace/gate...

0
0
发表了博客
2019/06/27 17:59

Mac尚未修补的Gatekeeper漏洞 恐让黑客有机可趁

安全业者Intego本周指出,有一个新的Mac恶意软件OSX/Linker试图利用Apple未修补的Gatekeeper漏洞。尽管OSX/Linker目前正在检测它是否可以危及漏洞,但黑客可能随时都在远端把它变成真正的恶意软件。 今年5月意大利安全研究员Filippo Cavallarin透露了这个漏洞,他声称Apple检测和阻止MacOS中的恶意程序的安全机制  Gatekeeper包含可以绕过的漏洞。 这是因为Gatekeeper将外部磁盘和网络共享视为安全区域,允许通过在macOS中使用...

0
0
发表了博客
2019/08/21 07:30

Netflix如何通过重构视频Gatekeeper提升内容运营效率?

Gatekeeper是Netflix的视频内容评估管理平台,可以展示视频剧集的metadata,如合同信息、字幕、标题、内容分级等。但此前,运营人员无法通过Gatekeeper实时更新剧集信息,本文将介绍新的gatekeeper架构,以及因此获得的收益。 文 / Drew Koszewnik 译 / John 原文 https://medium.com/netflix-techblog/re-architecting-the-video-gatekeeper-f7b0ac2f6b00 此文将与您分享我们的内容设置工程团队如何使用基于Netflix OSS技术的,...

0
0
发表于DevOps专区
2019/01/09 11:26

How to Allow Apps from Anywhere in macOS Gatekeeper (Mojave, Sierra, High Sierra)

![](http://oscimg.17ky.net/oscnet/86b6a8894a64929afbe077c790f490f53c4.jpg) Gatekeeper in MacOS is now stricter than ever, defaulting to only allow options for apps downloaded from either the App Store or the App Store and identified developers. Advanced Mac users may wish to allow a third option, which is the ability to open and allow apps downloaded from anywhere in macOS Sierra, macOS Hig...

0
0
发表了博客
2019/03/02 20:35

小米 OJ 编程比赛 02 月常规赛 3 Logic Gatekeeper CDQ分治

link:https://code.mi.com/problem/list/view?id=139 题意:   有一个1e6 * 1e6 大的格子,现在有两种操作:1,给一个子矩阵中的每个格子加上k。2,计算一个子矩阵中格子数字的和,在mod意义下除以子矩阵的大小。 思路:   首先要学一下( http://www.cnblogs.com/RabbitHu/p/BIT.html )中关于二位矩阵区间修改,求区间和的知识,然后由于这个格子太大,我们就要用cdq分治降维。 #include <algorithm> #include <itera...

0
0
2015/03/03 11:07

例子:H.323到SIP的呼叫

H.323 to SIP Call In this example, a H.323 terminal calls a SIP-enabled PC through a H.323/SIP gateway. The gateway does signaling translation between the protocols but allows the two end points to exchange media packets directly with each other. The full details of SIP/H.323 interworking are being developed in the SIP working group [4]. In this example, shown in Figure , the initial message ...

0
0
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
暂无内容
4 评论
65 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部