在ubuntu16.04上利用pf_ring加速libpcap进行抓包,千兆网运行流畅,不丢包

最新推荐文章于 2024-05-27 13:57:54 发布
最新推荐文章于 2024-05-27 13:57:54 发布
阅读量1.7k 收藏 6
点赞数 1
分类专栏: 网络 ubuntu 文章标签: pf_ring libpcap linux 网络抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengsuiyunqing/article/details/103433093
版权
本文记录在Ubuntu 16.04上利用pf_ring提升libpcap抓包速度的过程,包括下载源码、编译内核驱动、安装库和驱动,以及测试抓包效果,确保在千兆网环境下运行流畅不丢包。
摘要由CSDN通过智能技术生成

最近项目需要,需要在千兆网下进行收包,带宽在800Mb左右,传统socket或者rawsocket很容易丢包,因而使用libpcap抓包。经测试,libpcap的接收速度远不如传统socket或者rawsocket,但是好处就是收包比较稳定,并没有丢包现象,据查,linux版本的libpcap是在应用层做的,内部使用的就是rawsocket(不知真假),怪不得时间那么慢。为了提示收取速度,引入pf_ring进行收包加速,过程略有些坑,特此记录。

下载pf_ring源码

源码链接

编译安装pf_ring内核

  • 解压PF_RING-dev.zip;

  • cd PF_RING/kernel

  • make 生成 pf_ring.ko

  • sudo make install

  • insmod pf_ring.ko thansparent_mode=1 注意: thansparent_mode有三种模式, 越高的transparent_mod值,获得报文捕获的速度越快:

     0: 缺省,不需要安装任何驱动, 利用标准的Linux接口接收报文, 任何驱动都能使用该模式.

 1: 需要安装驱动.

 2: 需要安装驱动, pfring以外程序抓不到数据包

安装 pf_ring 库

安装依赖
apt-get instal

最低0.47元/天 解锁文章
fengsuiyunqing
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
【包】PF_RING
Li_Jiaqian的博客
10-18 2719
一.libpcaplibpcap-mmap 上周提及运用libpcap抓包在占用资源方面没有很大缺陷,但是丢包率很高,当网络数据流量较大(以10ms间隔发送广播包)时,丢包率高于90%,随着数据包量的增加和包长度的减小,丢包率呈上升趋势。 libpcap丢包严重的原因: cpu频繁中断(接收数据包时中断); 数据包被多次拷贝(从卡拷贝到内核空间,从内核拷贝到用户空间)。 于是有人提出了...
prober:pfring抓包并做简单流量识别和设备资源的统计,模板循环数组可以单独做缓冲使用,入库只用了sqlserver的简单操作
05-18
prober pfring抓包并做简单流量识别和设备资源的统计,模板循环数组可以单独做缓冲使用,入库只用了sqlserver的简单操作。
wireshark抓包丢包分析?
最新发布
白帽黑客八哥的博客
05-27 2410
我们都知道,一般流量分析设备都支持pcap回放离线分析的功能,但如果抓的pcap丢了包,会影响最终安全测试的效果。比如说竞测现场需要提供pcap包测试恶意文件的检测功能,如果pcap中丢包,可能会导致文件还原失败,最终恶意文件检测功能“实效”。那问题来了,我们怎么识别pcap包是否有丢包呢?接下来,我们通过wireshark来查找pcap文件中的丢包线索。
ubuntu 安装pf-ring 来测试suricata 性能
qq_41914904的博客
01-10 498
然后入 PF_RING/drivers/intel/ixgbe/ixgbe-5.19.6-zc/src/ 目录开始make ,xgbe-5.19.6这个文件夹的5.19是当前内核版本,使用uname -r命令 和显示的内核版本保持一致。进入 userland/lib , userland/libpcap/ , kernel/linux 目录中,make && make install 加载库文件到本地。然后执行 ./load_driver.sh ,插入到内核中。然后进入kernel目录,make编译
网络数据捕获之PF_RING
03-09 3101
Linux环境下需要监听网络数据最简单的可以使用SOCK_RAW原始套接字或者直接调用专门进行网络抓包的库接口libpcap, 但是是针对千兆数据捕获就会有瓶颈,而且随着数据流量的增大捕获主机的CPU会有很大的负担,本人曾亲测使用原始套 接字进行千兆数据捕获评测,i7服务器主机,网络数据全是1400Byte大包,码率加到600Mbps左右就会出现间歇性丢包丢包通过在发包端对数据打上连
[原创]FreeBSD下千兆双口数据包捕获的性能分析(SMP Kernel)
weixin_30367873的博客
12-15 167
首先说一下测试环境:Intel Xeon 5130(2GHz,双核)、4G内存,外加一块Intel Expi9402PF(82571EB)千兆光纤双口卡。由于手边没有smartbit,只好将真实流量的镜像作为测试源。在9402PF上插上两个电口的模块,将镜像得到的两个相同的1G流量作为输入源。由于是镜像得到的流量,所以稍微有些波动,大约稳定在950M左右,测试时以BPF实际收到的数据包数...
wineQQ_QQ_ubuntu16.04_wineQQ_smilehx8_
10-04
标题中的“wineQQ_QQ_ubuntu16.04_wineQQ_smilehx8_”表明我们正在讨论如何在Ubuntu 16.04操作系统上使用Wine来运行QQ聊天软件。Wine(Windows Emulator)是一个开源软件,它允许Linux用户在不依赖Microsoft Windows...
zlg_usbcan_libusb_ubuntu_16.04_x64_driver.zip_USBCAN_ZLG USBCAN驱
07-15
1:周立功在Ubuntu下的驱动; 2:16.04测试通过;
ubuntu16.04 mysql5.7 离线包及依赖
03-24
环境安装mysql5.7数据库所需deb安装包,libaio1_0.3.110-2_amd64.deb ,libmecab2_0.996-1.2ubuntu1_amd64.deb ,libmysqlclient20_5.7.25-1ubuntu16.04_amd64.deb,libmysqlclient-dev_5.7.25-1ubuntu16.04_amd...
ubuntu16.04安装gstreamer的的步骤.rar_Gstreamer ubuntu_Ubuntu安装gstream_
07-15
Ubuntu 16.04上安装GStreamer,你需要遵循以下步骤: 1. **更新系统**: 在开始安装任何新软件之前,首先确保你的系统是最新的。打开终端并运行: ``` sudo apt-get update sudo apt-get upgrade ``` 2. **...
emqx-ubuntu16.04-v3.1.0_amd64.deb
10-25
emq在Ubuntu16.04系统上的部署安装包,下载后运行命令sudo dpkg -i emqx-ubuntu16.04-v3.1.0_amd64.deb 安装
QTSerial.tar_QT5.9.0程序_ubuntu16.04_serialport_
10-04
QTSerial.tar_QT5.9.0程序_ubuntu16.04_serialport_这个压缩包文件包含了在X86架构的Ubuntu 16.04 64位操作系统上,使用Qt 5.9.0框架开发的一个串口通信程序。这个程序专门设计用于实现数据的发送和接收,且能够同时...
ubuntu1604-snmp_SNMP_Ubuntu安装snmpd_ubuntu16.04_
10-03
SNMP服务在Ubuntu上通常由`snmpd`守护进程提供。要安装SNMPd,执行以下命令: ```bash sudo apt-get update sudo apt-get install snmp snmpd ``` 这将安装SNMP服务及其客户端工具。 ## 配置SNMPd SNMPd的配置文件...
Ubuntu16.04离线安装包vsftpd
12-06
1. **将安装包传输到目标机器**:将下载的"vsftpd_3.0.3-3ubuntu2_amd64.deb"文件通过USB驱动器、移动硬盘或其他物理媒介转移到运行Ubuntu 16.04的离线计算机上。确保文件被正确地放置在一个可访问的目录下,例如`/...
Linux ubuntu PF_RING+libpcap 极速捕获千兆数据包,不丢包
chengfangang的专栏
02-25 6565
http://blog.chinaunix.net/uid-23225855-id-3228867.html 上一篇文章讲到了libpcap 捕获数据包,尤其在千兆的条件下,大量的丢包上搜索好久,大概都是PF_PACKET +MMAP,NAPI,PF_RING之类的方法,我对PF_RING+libpcap进行实验,发现千兆条件下,捕获数据包的性能很好,几乎不丢包Linux Fe
libpcap
wfqxx的专栏
03-09 2358
libpcap丢包的严重性,在默认情况下,其丢包率可以达到97%以上。这个恐怖的数值使我们感到惊讶。经过昨天对问题的分析,把解决问题的办法定位到了改变内核上。以改变libpcap的底层实现。Libpcap在底层也是通过socket来实现的。解决问题的办法是往内核中添加一种名为PF_RING的socket,这种socket在底层实现了DMA的读取方式,从而大大提高了卡的效率。因为造成lib
linux libpcap 效率,Linux ubuntu PF_RING+libpcap 极速捕获千兆数据包,不丢包
weixin_35916710的博客
05-25 454
本文转自:http://blog.chinaunix.net/uid-23225855-id-3228867.html上一篇文章讲到了,尤其在千兆的条件下,大量的丢包上搜索好久,大概都是PF_PACKET +MMAP,NAPI,PF_RING之类的方法,我对PF_RING+libpcap进行实验,发现千兆条件下,捕获数据包的性能很好,几乎不丢包Linux14(本人实验的环境为:ubunt...
ubuntu16.04离线安装lftp_4.3.3-1_amd64
08-17
要在ubuntu16.04离线安装lftp_4.3.3-1_amd64,你可以按照以下步骤进行操作: 1. 首先,在你的离线计算机上下载lftp_4.3.3-1_amd64.deb文件。你可以前往lftp官方站或者其他可信的软件下载站下载该文件。 2. 将下载的.deb文件传输到目标计算机上。你可以通过USB驱动器、移动硬盘或者其他文件传输方式将.deb文件复制到目标计算机上。 3. 打开终端,进入.deb文件所在的目录。你可以使用cd命令切换到.deb文件所在目录的路径。 4. 在终端中,运行以下命令进行安装: sudo dpkg -i lftp_4.3.3-1_amd64.deb 该命令会以管理员权限安装.deb文件。如果该命令执行成功,你的lftp软件将会安装到系统中。 5. 如果在安装过程中遇到依赖问题,你可以通过运行以下命令修复依赖关系: sudo apt-get -f install 该命令会尝试解决任何缺失的依赖关系,并安装所需的软件包。 6. 安装完成后,你可以通过在终端中运行lftp命令来验证lftp是否安装成功。 通过按照以上步骤进行操作,你就可以在ubuntu16.04离线安装lftp_4.3.3-1_amd64了。请注意,在离线安装过程中,确保你的.deb文件和依赖文件是从可信的来源下载的,并且与你的操作系统版本兼容。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值