Gatekeeper 是一個開源 DoS 防護系統。它旨在擴展到任何峰值帶寬，因此它可以抵抗當今和未來的 DoS 攻擊。盡管 Gatekeeper 具有地理上分散的體系結構，但對傳入流量執行的所有決策的網絡策略必須集中描述。這種集中化策略使網絡運營商可以利用在非常高的延遲下不可行的分布式算法（例如分布式數據庫），并立即應對多種多向量 DoS 攻擊。

工作方式

Gatekeeper 具有兩個組件：Gatekeeper 服務器和 Grantor 服務器。 Gatekeeper 服務器部署在整個Internet上的優勢點（VP）位置，所有 Gatekeeper 服務器的聚合帶寬使 Gatekeeper 部署可以擴展其傳入帶寬以匹配 DoS 攻擊的峰值帶寬。 Gatekeeper 服務器使用 BGP 宣布受其保護的網絡前綴。因此，每個流量源都綁定到一個VP。

Gatekeeper 服務器的主要功能是對流執行網絡策略。流由源 IP 地址和目標 IP 地址對定義。策略決策的一個示例是允許 IP 地址 A 以 1Gbps 或更低的速率向 IP 地址 B 發送數據包。如果 Gatekeeper 服務器沒有指定策略，則將在其流表中制定一項策略決策，以強制執行任何給定流。它使用 IP-in-IP 封裝該流的數據包，根據給定流的速率為封裝的數據包分配優先級（較高的優先級表示較低的速率），然后通過請求通道轉發該數據包。請求通道保留了從 Gatekeeper 服務器到負責策略決策的 Grantor 服務器的路徑帶寬的 5％。每當在請求通道中轉發數據包的路由器由于帶寬有限而需要丟棄數據包時，都會丟棄其隊列中優先級最低的數據包。

?

網絡策略是在 Grantor 服務器上運行的 Lua 腳本。Grantor 服務器位于受保護的目標附近；通常在目標的同一數據中心中（可以將 Grantor 服務器部署在其他位置，甚至可以采用任播方式到達不同的目的地，但是在這里為簡單起見，我們假設目的地前綴部署在單個數據中心中）。 授權者服務器負責對請求通道中的每個流做出策略決策。這些策略決策將發送到相應的 Gatekeeper 服務器以執行它們。

在將策略決策安裝到 Gatekeeper 服務器中時，合法發送者的流將移至許可的通道，在該通道中，帶寬將根據策略進行分配。同樣，識別出的惡意主機也會被阻止。反過來，這將減少合法流量在請求通道上等待所經歷的延遲。 總而言之，Gatekeeper 部署由多個有利位置組成，這些有利位置在受保護的網絡周圍形成了屏蔽。授予者服務器位于屏蔽內部，但在數據包的最終目的地之前，它們運行網絡策略來決定所有傳入流量的命運。策略決策安裝在 Gatekeeper 服務器上，這些服務器強制執行這些策略決策。

安裝要求

• 大頁面配置

  $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages
  

?運行命令

$ sudo systemctl start gatekeeper
$ sudo systemctl enable gatekeeper

設置環境變量

$ echo "export RTE_SDK=${RTE_SDK}" >> ${HOME}/.profile
$ echo "export RTE_TARGET=${RTE_TARGET}" >> ${HOME}/.profile

?