当前位置: 首页 > 软件库 > 管理和监控 > 安全相关 >

Gatekeeper

开源 DDoS 防护系统
授权协议 GPL-3.0
开发语言 C/C++ Lua
所属分类 管理和监控、 安全相关
软件类型 开源软件
地区 不详
投 递 者 籍英叡
操作系统 Linux
开源组织
适用人群 未知
 软件概览

Gatekeeper 是一个开源 DoS 防护系统。它旨在扩展到任何峰值带宽,因此它可以抵抗当今和未来的 DoS 攻击。尽管 Gatekeeper 具有地理上分散的体系结构,但对传入流量执行的所有决策的网络策略必须集中描述。这种集中化策略使网络运营商可以利用在非常高的延迟下不可行的分布式算法(例如分布式数据库),并立即应对多种多向量 DoS 攻击。

工作方式

Gatekeeper 具有两个组件:Gatekeeper 服务器和 Grantor 服务器。 Gatekeeper 服务器部署在整个Internet上的优势点(VP)位置,所有 Gatekeeper 服务器的聚合带宽使 Gatekeeper 部署可以扩展其传入带宽以匹配 DoS 攻击的峰值带宽。 Gatekeeper 服务器使用 BGP 宣布受其保护的网络前缀。因此,每个流量源都绑定到一个VP。

Gatekeeper 服务器的主要功能是对流执行网络策略。流由源 IP 地址和目标 IP 地址对定义。策略决策的一个示例是允许 IP 地址 A 以 1Gbps 或更低的速率向 IP 地址 B 发送数据包。如果 Gatekeeper 服务器没有指定策略,则将在其流表中制定一项策略决策,以强制执行任何给定流。它使用 IP-in-IP 封装该流的数据包,根据给定流的速率为封装的数据包分配优先级(较高的优先级表示较低的速率),然后通过请求通道转发该数据包。请求通道保留了从 Gatekeeper 服务器到负责策略决策的 Grantor 服务器的路径带宽的 5%。每当在请求通道中转发数据包的路由器由于带宽有限而需要丢弃数据包时,都会丢弃其队列中优先级最低的数据包。

网络策略是在 Grantor 服务器上运行的 Lua 脚本。Grantor 服务器位于受保护的目标附近;通常在目标的同一数据中心中(可以将 Grantor 服务器部署在其他位置,甚至可以采用任播方式到达不同的目的地,但是在这里为简单起见,我们假设目的地前缀部署在单个数据中心中)。 授权者服务器负责对请求通道中的每个流做出策略决策。这些策略决策将发送到相应的 Gatekeeper 服务器以执行它们。

在将策略决策安装到 Gatekeeper 服务器中时,合法发送者的流将移至许可的通道,在该通道中,带宽将根据策略进行分配。同样,识别出的恶意主机也会被阻止。反过来,这将减少合法流量在请求通道上等待所经历的延迟。 总而言之,Gatekeeper 部署由多个有利位置组成,这些有利位置在受保护的网络周围形成了屏蔽。授予者服务器位于屏蔽内部,但在数据包的最终目的地之前,它们运行网络策略来决定所有传入流量的命运。策略决策安装在 Gatekeeper 服务器上,这些服务器强制执行这些策略决策。

安装要求

  • 大页面配置
    $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages

 运行命令

$ sudo systemctl start gatekeeper
$ sudo systemctl enable gatekeeper

设置环境变量

$ echo "export RTE_SDK=${RTE_SDK}" >> ${HOME}/.profile
$ echo "export RTE_TARGET=${RTE_TARGET}" >> ${HOME}/.profile

 

  • 作为Gatekeeper,请守好交付质量关口 (Quality Gate) 质量保证(QA)包括三个不同的领域: 分析质量保证:根据标准检查软件产品的质量。如果软件产品不能达到特定的期望值,将采取适当的措施(很可能是返工)。 建设性质量保证:建设性质量保证包括为预先构建无错误软件提供帮助的所有方法。 组织质量保证:组织质量保证的任务是提供一个可以建立质量保证的环境。组织质量保证包括质量管理组织、培

  • 动机及简介 如果你的组织在运行 Kubernetes,那么你可能一直在寻找控制终端用户可以在集群上做什 么,以及确保集群符合公司或组织政策的方法。这些政策可能是用来满足治理和法律需求,或者 执行最佳实践和组织约定。使用 Kubernetes,你如何在不牺牲开发灵活性和操作独立性的情况下 确保遵从性?例如,你可以执行以下政策: 所有镜像必须来自已批准的存储库 所有pod都必须有资源限制 所有 nam

  • 快速链接: . ������ 个人博客笔记导读目录(全部) ������ 付费专栏-付费课程 【购买须知】: 【精选】Android13安全架构精选-[目录] ������ 相关推荐: android gatekeeper(locksetting密码锁)学习这一篇就够了 – 基于android12哦 说明: 在无特别的说明下,本文讲述得是android10.0 !

  • 出发点 如果您所在的组织一直在使用 Kubernetes,您可能一直在寻找如何控制终端用户在集群上的行为,以及如何确保集群符合公司政策。这些策略可能需要满足管理和法律要求,或者符合最佳执行方法和组织惯例。使用 Kubernetes,如何在不牺牲开发敏捷性和运营独立性的前提下确保合规性? 例如,您可以执行以下策略: 所有镜像必须来自获得批准的存储库 所有入口主机名必须是全局唯一的 所有 Pod 必须

  • 转自:https://blog.csdn.net/qq_34211365/article/details/105833847 本篇文章分析一下GateKeeper这个模块,官网对GateKeeper的描述如下: Gatekeeper Gatekeeper 子系统会在可信执行环境 (TEE) 中执行设备解锁图案/密码身份验证。Gatekeeper 会使用由硬件支持的密钥通过 HMAC 注册和验证密码

  • Gatekeeper是第一个开源的DoS保护系统。它旨在扩展到任何峰值带宽,因此可以抵抗当今和未来的DoS攻击。尽管Gatekeeper具有地理上分散的体系结构,但是描述必须对传入流量执行的所有决策的网络策略是集中的。这种集中化的策略使网络运营商能够利用在非常高的延迟下不可行的分布式算法(例如分布式数据库),并立即应对多种多向量DoS攻击。 Gatekeeper的目标用户是机构,服务和内容提供商,

  • Gatekeeper 是基于 OPA(Open Policy Agent) 的一个 Kubernetes 策略解决方案。在之前的文章中说过,在 PSP/RBAC 等内置方案之外,在 Kubernetes 中还可以通过策略来实现一些额外的管理、安全方面的限制,本文将会从安装开始,介绍几条实用的小策略。 安装篇 安装可以通过 kubectl 来进行: $ kubectl apply -f https:

  • 快速链接: . ������ 个人博客笔记导读目录(全部) ������ 付费专栏-付费课程 【购买须知】: 【精选】Android13安全架构精选-[目录] ������ 推荐:学习gatekeeper/密码是只看这一篇文章就够了。基于android13,多图多精简总结,白话总结,一网打尽密码锁、locksettingService、gatekeeper hal 、CA、TA、TEE 所有知识点

  • 1、authToken是什么? 在密码或指纹验证通过后(verify通过后),需返回一个authToken值,然后交由keystore保持起来. 以下是gatekeeper的verify产生authToken和调用keystore保存authToken的流程图: 2、authToken的填充 在gatekeeper TA的verify()通过后,对填充authToken结构体,然后再返回。 (ha

  • 快速链接: . ������ 个人博客笔记导读目录(全部) ������ 付费专栏-付费课程 【购买须知】: 【精选】Android13安全架构精选-[目录] ������ 推荐: android gatekeeper(locksetting密码锁)学习这一篇就够了

  • 1,去官方下载支持python gatekeeper的版本,注意最后一版是12.0.4.下载地址:Keycloak - Downloads 12.0 2,根据需要配置数据库,这个数据库配置在standalone.xml中,参考文件:Server Installation and Configuration Guide 3,配置gatekeeper:参考路径是:Securing Applicatio

  • test@test-pc:~/workspace/share/testcase/test_tee$ tree . . ├── resource │ ├── googlekey │ │ ├── default_googlekey.bin │ │ └── kmsetkey_ca │ └── vts_testcase │ ├── VtsHalBiometricsFac

  • 快速链接: . ������ 个人博客笔记导读目录(全部) ������ 付费专栏-付费课程 【购买须知】: 【精选】Android13安全架构精选-[目录] ������ 基于android13,多图多精简总结,白话总结,一网打尽密码锁、locksettingService、gatekeeper 所有知识点。并拓展了指纹、人脸、DRM 相关的知识点

 相关资料
  • 在 Mac 操作系统上防止 Dreamweaver 中潜在的 Gatekeeper 漏洞。 Gatekeeper 是 Mac OS X 10.7 及更高版本中内置的恶意软件检测功能。从 Mac App Store 安装的应用程序均可视作安全可靠,这是因为在该应用商店接受每个应用程序之前,Apple 会对其进行审查。从 App Store 之外的地方下载的应用程序必须通过 Apple 颁发的开发者

  • 问题内容: 通常在服务器级别阻止DDoS(分布式拒绝服务攻击),对吗? 有没有办法在PHP级别上阻止它,或者至少减少它? 如果没有,阻止DDoS攻击的最快,最常见的方法是什么? 问题答案: DDOS是一系列攻击,它们淹没了数据中心的关键系统,其中包括: 托管中心与互联网的网络连接 托管中心的内部网络和路由器 您的防火墙和负载平衡器 您的Web服务器,应用程序服务器和数据库。 在开始构建DDOS防御

  • 本文向大家介绍开源操作系统,包括了开源操作系统的使用技巧和注意事项,需要的朋友参考一下 开源操作系统是根据许可发布的,版权所有者允许他人学习,更改并将软件分发给他人。可以出于任何原因完成此操作。市场上可用的不同开源操作系统是- 宇宙 这是一个主要使用C#语言编写的开源操作系统。其完整格式为C#开源托管操作系统。直到2016年,Cosmos都不打算成为一个完整的操作系统,而是一个允许其他开发人员轻松

  • 问题内容: 我以前偶尔会抓取电子商务网页以获取产品价格信息。我有一段时间没有使用过使用Scrapy构建的刮板,而昨天却试图使用它-我遇到了机器人防护问题。 它使用的是CloudFlare的DDOS保护,基本上是使用JavaScript评估来过滤掉禁用了JS的浏览器(因此是抓取器)。评估功能后,将生成带有计算数字的响应。作为回报,服务会发回两个身份验证Cookie,这些身份验证Cookie附加在每个

  • Anti DDOS | BASH SCRIPT Programming Languages : BASH System : Linux Explanation : Anti-DDOS project is an open source software project developed to protect against DOS and DDoS attacks. The project wa

  • DoS Deflate 是一个轻量级的 bash shell 脚本,旨在协助阻止拒绝服务攻击的过程。它使用以下命令创建连接到服务器的 IP 地址列表及其总连接数。在软件层面,它是最简单、最容易的安装解决方案之一。 netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n 具有超过预先配置连接数量的 IP 地址会