评论

收藏

[网络数据] 虹科纯软件网络监控解决方案(一)--高速数据包捕获,过滤和分析工具PF_RING

网络安全 网络安全 发布于:2021-07-16 20:41 | 阅读数:566 | 评论:0

我们所熟知的ntop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。ntop甚至可以列出每个节点计算机的网络带宽利用率。同时ntop也是一家专注于软件网络监控解决方案10余年的公司,ntop公司提供流量捕获,流量记录,网络探针和流量分析等多种工具,这些工具既可以单独使用也可以配合使用形成不同解决方案。虹科与ntop公司达成合作,国内独家代理他们产品并提供相应的技术支持。PF_RING是一种新型的网络套接字,可显着提高数据包捕获速度。

Vanilla PF_RING™
PF_RING通过Linux NAPI轮询来自NIC的数据包。这意味着NAPI将数据包从NIC复制到PF_RING循环缓冲区,然后userland应用程序从环读取数据包。在这种情况下,有两个轮询程序,即应用程序和NAPI,这会导致用于此轮询的CPU周期。优点是PF_RING可以将传入的数据包同时分发到多个环(因此有多个应用程序)。
DSC0000.png

PF_RING模块
PF_RING™具有模块化架构,可以使用除标准PF_RING™内核模块以外的其他组件。当前,其他模块集包括:

  • ZC模块
      查看ZC页面以获取更多信息。
  • 基于FPGA的板卡模块
      这些模块增加了对许多供应商的支持,包括Accolade,Exablaze,Napatech, Netcope…
  • 堆栈模块
      该模块可用于将数据包注入linux网络堆栈。
  • 时间轴模块
      该模块可用于使用PF_RING™API从n2disk转储集中无缝提取流量。
  • Sysdig模块
      该模块使用sysdig内核模块捕获系统事件。
    DSC0001.png

PF_RING ZC(零复制)
PF_RING™ZC(零复制)是一种灵活的数据包处理框架,可让您在任何数据包大小下实现1/10 Gbit的线速数据包处理(RX和TX)。它实现了零复制操作,包括用于进程间和VM间(KVM)通信的模式。它可以被视为DNA / LibZero的后继产品,该产品基于过去几年的经验教训提供了一个单独且一致的API。它具有干净灵活的API,可实现可从线程、应用程序和虚拟机使用的简单构建基块(队列、工作器和池)。这样可以实现10 Gbit线速数据包处理。
对于那些需要最大的数据包捕获速度和0%CPU利用率以将数据包复制到主机的用户(即,不使用NAPI轮询机制),可以使用允许读取数据包的ZC(又名新一代DNA)驱动程序通过以零拷贝方式同时绕过Linux内核和PF_RING模块直接从网络接口直接获得。
DSC0002.png
注意:PF_RING ZC并非免费使用,必须购买相应的license

PF_RING FT(流表)
大多数网络监控和安全应用都基于流处理,包括数据包捕获、解码和分类。PF_RING™是一个灵活的框架,可用于加速数据包捕获,利用PF_RING™ZC驱动程序或专用适配器,并提取数据包元数据。这让应用程序专注于数据包处理,而不是处理数据包捕获和数据包解析,同时以最佳性能运行。
PF_RING™FT更进一步,它在数据包分类活动中协助任何流处理应用程序。PF_RING™FT实现了可用于跟踪流的流表,并提供了许多挂钩,以便能够自定义和扩展它,以便在其上构建任何类型的应用程序,包括探针、IDS、IPS、L7防火墙。
PF_RING™FT经过高度优化,能够在低端Xeon E3上使用单个CPU内核处理10 Gbit的线速,并在多核系统上扩展至100 Gbit。下表显示了使用以下各项进行性能测试的结果:
DSC0003.png

谁需要PF_RING
基本上每个人都必须每秒处理许多数据包。这里的“许多”根据您用于流量分析的硬件而变化。它的范围可以从1.2GHz ARM上的80k pkt / sec 到低端2.5GHz Xeon上的14M pkt / sec ,甚至更高。PF_RING™不仅使您可以更快地捕获数据包,还可以更有效地捕获数据包,从而节省CPU周期。这里列了一些数据,您可以看到nProbe(NetFlow v5 / v9探针)可以使用PF_RING™运行多快,或者看看下面的表格。
DSC0004.png
使用Core2Duo 1.86 GHz,Ubuntu Server 9.10(内核2.6.31-14)和IXIA 400流量生成器以线速(64字节数据包,1.48 Mpps)注入流量进行的1Gbit测试:
DSC0005.png

联系我们
DSC0006.png




关注下面的标签,发现更多相似文章