将DPDK移植到snort上的DAQ

最新推荐文章于 2024-06-06 17:56:45 发布
最新推荐文章于 2024-06-06 17:56:45 发布
阅读量6.1k 收藏 7
点赞数 4
分类专栏: DPDK 文章标签: 网卡 dpdk-snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NachtZ/article/details/52138135
版权
本文介绍了如何将DAQ与Snort结合,特别是在Snort的多线程环境中,解决DPDK单线程初始化限制的问题。通过创建线程ID到网卡的映射表,使得每个线程能独立操作特定的DPDK网卡,从而实现多线程并发抓包和分析。
摘要由CSDN通过智能技术生成

DAQ 与Snort

在snort-daq中,daq的控制流程是这样的。
snort_daq
如上所述,Snort在初始化的时候载入了daq。这个时候snort的所调用的api是daq_load_modules。也就是说,这个时候在主线程没有启动网卡,初始化实例的操作。
在初始化整个snort之后(载入配置,载入daq及其他各个模块等等)。snort就进入了分析的阶段了。这个阶段的主角是
pig,或者说更本质的,是pig下的analyzer
Snort下面开n个pig线程。pig线程下面调用analyzer来进行包解析。
包解析的过程中是在pig线程中多线程并行进行的。每一个analyzer下面都初始化一个daq instance并调用acquire进行抓包并分析。每一个daq instance下面都有一个或多个网卡来获取数据。因为目的主要是介绍daq,所以怎么解析就不提了。
pig_daq
从上图和上面的介绍就可以看得出来,一个snort下面有多个daq instance并行运行。每一个daq instance都会进行初始化操作,占用系统资源,获取网卡&#x

最低0.47元/天 解锁文章
NachtZ
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
snort-2.9.0.5+daq+libdnet+libpcap+pcre
07-04
基于linux的snort源码,以及所有需要的相关服务,一次下完,安装无忧!注:安装步骤上百度,一搜就有。
Ubuntu 18.04上使用snort3搭建NIDS(三)| ELK可视化篇
01-09
为最近项目上要用到snort3,但是找了很多博客都是snort2.9.x的安装与配置,所以只能靠着官网文档和自己的反复摸索来学习snort3相关的内容。后面将会把snort3相关的发一个系列的博客,这是第三篇,实现了snort3与ELK数据展示分析组件联动进行告警可视化。后续内容敬请期待,等我理清了思路就来~ 往期回顾 Ubuntu 18.04上使用snort3搭建NIDS(一)| 安装篇 Ubuntu 18.04上使用snort3搭建NIDS(二)| 配置篇 在上一节中,经过配置,大概可以实现一个建议的网络入侵检测系统了,但是它对于检测到的潜在的攻击数据只是简单的进行记录、在输出的告警文件中
snortdaq
weixin_33939380的博客
07-24 1640
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata中DPDK收发包
最新发布
finley_feng的博客
06-06 271
->LiveRegisterDevice(遍历pre_live_devices链表,读取pcie地址到live_devices链表中,后续提供网口pcie相关的函数都是从live_devices链表获取,比如LiveGetDeviceCount)-->LiveRegisterDeviceName(读取所有DPDK配置的pcie地址接口,放到pre_live_devices链表中)DPDK的收包也是增加了runmode-dpdkintel.c和source-dpdkintel.c两个文件。
snort与dap
帝轩的博客
07-13 452
简介 snort从2.9.0版本开始引入了daq(packet acquisition), 该模块实际上是一个抽象层专门为报文处理服务。 分析 以往的snort如下图所示,在报文获取上与主体代码混在一起造成了以下问题: 分层不明显,不便于改写 只能编译控制中决定报文获取与处理方式,对于同一个平台只能保留一种处理方式。 加入daq后,将报文获取的具体细节和主体代码分离,有如下好处 层次清晰便于继续开发 报文获取的模块可以保留多个,snort可以根据用户配置以及具体平台进行动态加载。并将从
安装snort时报错关于daq
weixin_38167847的博客
09-27 896
如果你安装snort时,已经安装并编译完成daq,但是在snort目录下./configure --enable-sourcefire 时,依然报错: 例如: 这时你需要找到 用命令在根目录下找到daq-modules-config ,如:find /* -name daq-modules-config 然后把他拷贝到/usr/bin/目录下面即可 转载于:htt...
如何将DPDK编译成动态库
10-22
这些命令将添加动态库编译的选项到 Makefile 中。 步骤 2: 创建动态库规则文件 接下来,我们需要创建一个新的规则文件 rte.combinedlib-shared.mk,以便编译动态库。我们可以使用以下命令来创建该文件: ```...
centos上安装dpdk19.11
01-07
解压dpdk-19.11.tar cd dpdk-19.11 #RTE_SDK是代码顶层目录 #RTE_TARGET是选择编译平台,这里是64位linux系统,使用gcc编译 export RTE_SDK=/home/nxy/software/dpdk-19.11 export RTE_TARGET=x86_64-native-linux...
DPDK绑定和解绑网卡脚本
12-17
5. **绑定网卡**: 使用DPDK提供的`dpdk-devbind.py`脚本,将网卡从默认的内核驱动(如e1000e或ixgbe)绑定到vfio驱动。例如,命令可能为`./dpdk-devbind.py --bind=vfio-pci 0000:00:03.0`,其中`0000:00:03.0`是...
移植LVS-FULLNAT到OpenFastPathlvs-dpdk.zip
07-19
该项目把alibaba LVS-FULLNAT移植到了OpenFastPath(base on odp-dpdk)LVS-FULLNA 源代码:https://github.com/alibaba/LVSOpenFastPath源代码:https://github.com/lvsgate/ofp.git使用:1.获取并编译...
rust-dpdk:Rust绑定到DPDK
05-25
锈-dpdk Rust-Dpdk是使用Rust语言包装 API的实验性原型。建造首先,请按照设置DPDK开发环境。 $ CONFIG_RTE_BUILD_COMBINE_LIBS=y EXTRA_CFLAGS="-fPIC -O0 -g -ggdb" make install T=x86_64-native-linuxapp-gcc -j...
snort提高抓包效率和方法(青)
08-27
本资源在许多上面需要用钱,这里不用,呵呵,好东西,大家一起分享.
记一次dpdk 16.11版本移植错误排查
focus on security
05-14 569
移植后cmd_thread_init()报错,修改cmd使用的管理核。 server启动后报段错误,tx_buffer初始化失败。 增大hugepage,报错remap失败。 reboot设备,修改server的启动参数,绑定网卡dpdk,启动成功。
DPDK(二):准备知识3 ---内存屏障
weixin_30318645的博客
03-16 228
一、简介1、什么是内存屏障?它是一个CPU指令。2、为什么使用内存屏障?CPU硬件设计为了提高指令的运行速度,增设了两个缓冲区(store buffer, invalidate queue)。这个两个缓冲区能够避免CPU在某些情况下进行不必要的等待,从而提快速度,可是这两个缓冲区的存在也同一时候带来了新的问题。 编译器和CPU可以在保证输出结果一样的情况下对指令重排序,使性能得到优化。比如有...
Snort入门(一)
GGGYL111的博客
01-12 1602
Snort用户手册 1 OverView Snort有三种模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三种模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1275
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件;插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
使用Hyperscan提高Snort 3性能
补丁_1024的博客
03-29 619
原文链接点这里
dpdk的multi process的代码移植到vpp环境下,具体的实现方法是什么
05-24
移植 DPDK 的 multi-process 代码到 VPP 环境中,需要考虑以下几个步骤: 1. 将 DPDK 的 multi-process 应用程序中涉及到的 DPDK API 替换为 VPP 的 API。例如,将 DPDK 的 rte_eal_init() 函数替换为 VPP 的 vlib_init() 函数,将 DPDK 的 rte_eth_dev_configure() 函数替换为 VPP 的 vnet_hw_interface_set_rx_mode() 函数。 2. 将 DPDK 的 multi-process 应用程序中的 IPC 机制替换为 VPP 的 IPC 机制。DPDK 的 multi-process 应用程序通常使用共享内存和信号量进行进程间通信,而 VPP 使用的是消息队列和共享内存。因此,需要将 DPDK 的共享内存和信号量机制替换为 VPP 的消息队列和共享内存机制。 3. 修改应用程序的启动脚本。DPDK 的 multi-process 应用程序需要通过启动脚本指定各个进程的参数,而 VPP 的应用程序则需要通过启动脚本指定 VPP 的配置文件和插件。因此,需要修改启动脚本,以符合 VPP 的要求。 4. 修改应用程序的代码逻辑。DPDK 的 multi-process 应用程序通常使用 DPDK 的 rte_eal_mp_remote_launch() 函数启动各个子进程,而 VPP 的应用程序则需要使用 VPP 的 vlib_worker_thread_function() 函数启动各个工作线程。因此,需要修改应用程序的代码逻辑,以符合 VPP 的要求。 总之,将 DPDK 的 multi-process 应用程序移植到 VPP 环境中,需要对应用程序的代码进行较大的修改,并需要熟悉 DPDK 和 VPP 的 API 和 IPC 机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值