Nuove patch, inviate con una richiesta di inserimento per Linux 6.18, mirano a irrobustire la sicurezza con dei miglioramenti mirati per la gestione degli attacchi DDoS nei server. Le nuove patch sono state realizzate da un ingegnere Google, il quale ha anche apportato ottimizzazioni rilevanti che rendono più efficiente la gestione delle connessioni UDP in condizioni di carico di rete elevato, come appunto in caso di un attacco DDoS.
Linux 6.18 irrobustisce la gestione DDoS nei server
Quanto inviato per Linux 6.18 si concentra sull’ottimizzazione dello stack UDP, un’area molto critica in caso di attacco DDoS. Secondo i test, le nuove patch consentono un aumento del throughput del 47% per pacchetti IPv6 UDP con payload di 120 byte in condizioni di attacco. Inoltre, le modifiche permettono di processare 14,2 milioni di pacchetti in più al secondo su un server Intel Xeon, riducendo drasticamente i colli di bottiglia.
Le prime quattro patch prevedono la riduzione della dimensione della struttura, riorganizzando i campi per ottimizzare meglio il percorso di trasmissione. Le altre patch si occupano invece di intervenire sulla riduzione della contesa degli spinlock, per migliorare la scalabilità, implementando al tempo stesso una tecnica già utilizzata con successo in TCP per ridurre la latenza nella gestione dei pacchetti.
Le modifiche sostituiscono su Linux 6.18 il meccanismo di busylock, il quale lasciava scoperto l’intero host proteggendo soltanto il socket UDP. Ciò causava il blocco di diversi processori durante un attacco DDoS. Con l’introduzione di code intermedie senza lock per il nodo NUMA i processori potranno scartare da subito i pacchetti non necessari, inserendo quelli validi in una coda senza lock, specifica per il nodo.
Un unico processore potrà quindi elaborare i pacchetti in batch con una latenza ridotta, riducendo la contesa per il lock della coda di ricezione UDP, con grossi benefici per quanto riguarda la velocità dei dati anche durante gli attacchi.
Maggiori dettagli sulle nuove patch Linux sono disponibili nella pagina dedicata.