[GTER] Construindo um EBGP com NetFPGA

[Rubens Kuhl]

> Temos que pensar que um ataque é algo excepcional. Não é regra que um
> roteador esteja sendo atacado o tempo todo.

Pelo contrário, eu posso garantir com 100% de certeza que qualquer
roteador na DFZ esteja propagando um ataque neste momento. Os worms
são autônomos e alguns não tem tempo de vida ou possibilidade de
mudança de missão, então eles estarão para sempre ativos... o impacto
deles é decrescente até que chegue a próxima safra, e pode-se usar o
MDP (Mother Dinah Predictor) para saber que ano que vem um artista
famoso irá morrer e um novo worm irá surgir.

O que não acontece o tempo todo é roteador sob ataque direto; isso
depende da anti-popularidade da sua rede.

> Pensando assim, é possível computar estatísticas pra tomar decisões na
> forma de lookup quando certos parâmetros forem alcançados, evitando a sua
> preocupação.

Uma possibilidade de design que já me ocorreu é a exigência de que
sempre exista uma rota default. Assim, ao receber um pacote que não
está no look-up cache ele seria enviado para a rota default. Se isso
for o caminho errado o pacote irá voltar com o TTL decrescido de 2
depois de algum tempo, e assim por diante até que ou o cache seja
preenchido pela xPU ou o TTL o faça expirar. Se isso for um caminho
sub-ótimo paciência, mas não é um desastre, especialmente para redes
com tráfego fortemente inbound em Mbps (mesmo que pps a tendência seja
50-50%).  Isso dá uns efeitos bem engraçados em traceroutes, mas para
o poor-man's router pode ser aceitável.


> Fiz alguns experimentos simples gerando pacotes de 64 bytes com o BitFrost
> numa máquina Intel com 2 CPUs e dual IOH e ela processou ~ 1732Mpps com uma
> FIB de 360k rotas usando apenas as CPUs. Isso deu ~ 2,3 Gbps.

Uma interface GigE trafega 1.5 Mpps por sentido, então isso ainda não
é wire-rate para um roteador com 1 porta GigE externa e 1 porta GigE
interna.

> Estes e alguns outros melhoramentos (algoritmo de lookup, hardware melhor,
> ajustes de configuração), dá pra chegar bem fácil em ~ 5 Mpps a 64 bytes e
> 7 Gbps, usando a GPU.

5 Mpps são quase duas interfaces GigE, ou são 5 Mpps por sentido
perfazendo 10 Mpps total ?


> É exeqüível e resolve o problema de muitos de nós que não tem dinheiro pra
> dar pra Cisco porque estamos falando de uma máquina de R$ 9.000 com uma boa
> GPU (480 cores).

Para referência, um Cisco 7200 com NPE-G2 custa algo como R$ 20 mil no
mercado secundário, apesar de custar uns R$60 mil novo (enquanto
houverem estoques deste descontinuado produto).


Rubens