基于DPDK抓包的Suricata安装部署

最新推荐文章于 2024-06-21 09:15:14 发布
最新推荐文章于 2024-06-21 09:15:14 发布
阅读量593 收藏 2
点赞数
分类专栏: c++ DPDK linux 文章标签: linux 服务器 centos 开发语言 c/c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingshengxiyou/article/details/130094914
版权
本文介绍了如何在Linux服务器上利用DPDK进行Suricata的安装部署,以实现高效的数据包捕获。针对大流量场景,DPDK提供优于常规网卡抓包的性能。详细步骤包括服务器配置、DPDK版本选择与安装、Suricata的编译与配置,以及自动化绑定网卡的脚本设置。
摘要由CSDN通过智能技术生成

一、背景

Suricata支持网卡在线抓包和离线读取PCAP包两种形式的抓包:

  • 离线抓包天然具有速度慢、非实时的特点
  • 在线捕获数据包又包括常规网卡抓包、PF_RING和DPDK的方式

由于项目分光的流量较大, 软件自带的抓包方式并不能满足需求,因此采用了基于DPDK的Suricata在线捕获网卡数据包的方式。

二、 服务器配置与对应软件版本

操作系统:Centos7.6 1810
内核版本:3.10.0-1160.88.1.el7.x86_64
网卡信息:Intel X722 万兆光口以太网卡
DPDK版本:dpdk-19.11.14
Suricata版本:DPDK_Suricata-4.1.4

三、部署安装DPDK

基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14

DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz

1、安装dpdk-19.11.14需要操作系统内核版本大于3.2,如果版本过低,可以通过以下方式升级

1 [root@ids-dpdk ~]# cat /etc/redhat-release
2 CentOS Linux release 7.6.1810 (Core)
3 [root@ids-dpdk ~]# uname -r #查看一下系统版本
4 3.10.0-957.el7.x86_64
5 [root@ids-dpdk ~]# rpm -qa kernel #通过rpm命令查看我所安装的内核版本
6 kernel-3.10.0-957.el7.x86_64
7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包
8 空 #如果该目录下没有系统内核源码,执行以下操作
9 [root@ids-dpdk ~]# yum install kernel-devel #安装内核头文件后
10 [root@ids-dpdk ~]# ls /usr/src/kernels/
11 3.10.0-1160.88.1.el7.x86_64
12 #两个版本号不一致,进行升级并重启
13 [root@ids-dpdk ~]# yum -y update kernel kernel-devel
14 [root@ids-dpdk ~]# reboot
15 #再此查看,版本号一致,问题解决
16 [root@ids-dpdk ~]# ls /usr/src/kernels/
17 3.10.0-1160.88.1.el7.x86_64
18 [root@ids-dpdk ~]# uname -r
19 3.10.0-1160.88.1.el7.x86_64

2、安装依赖包

sudo yum install -y gcc make
sudo yum install -y libpcap libpcap-devel
sudo yum install -y numactl numactl-devel
sudo yum install -y pciutils

3、从dpdk官网下载dpdk压缩包并解压

将dpdk压缩包下载到/home目录下并解压
wget http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz
tar -zxvf dpdk-19.11.14.tar.gz

4、DPDK编译和网卡绑定

1. 设置环境变量,命令行执行:
[root@ids-dpdk ~]# export RTE_SDK='/home/dpdk-19.11.14'
[root@ids-dpdk ~]# export RTE_TARGET=x86_64-native-linuxapp-gcc
#(对于64位机用这个命令,对于32位机用i686-native-linuxapp-gcc)

2. 查看环境变量是否设置好:
[root@ids-dpdk ~]# env |grep RTE
RTE_SDK=/home/dpdk-stable-19.11.14
RTE_TARGET=x86_64-native-linuxapp-gcc

3. 关闭要绑定的网卡,否则绑定dpdk时不成功
ifconfig  ens1f0 down

4. 进入到dpdk-19.11.14/usertools目录下
cd /home/dpdk-19.11.14/usertools
执行./dpdk-setup.sh

会输出一列可选操作:

------------------------------------------------------------------------------
 RTE_SDK exported as /home/dpdk-stable-19.11.14
------------------------------------------------------------------------------
----------------------------------------------------------
 Step 1: Select the DPDK environment to build
----------------------------------------------------------
[1] arm64-armada-linuxapp-gcc
[2] arm64-armada-linux-gcc
[3] arm64-armv8a-linuxapp-clang
[4] arm64-armv8a-linuxapp-gcc
[5] arm64-armv8a-linux-clang
[6] arm64-armv8a-linux-gcc
[7] arm64-bluefield-linuxapp-gcc
[8] arm64-bluefield-linux-gcc
[9] arm64-dpaa-linuxapp-gcc
[10] arm64-dpaa-linux-gcc
[11] arm64-emag-linuxapp-gcc
[12] arm64-emag-linux-gcc
[13] arm64-graviton2-linuxapp-gcc
[14] arm64-graviton2-linux-gcc
[15] arm64-n1sdp-linuxapp-gcc
[16] arm64-n1sdp-linux-gcc
[17] arm64-octeontx2-linuxapp-gcc
[18] arm64-octeontx2-linux-gcc
[19] arm64-stingray-linuxapp-gcc
[20] arm64-stingray-linux-gcc
[21] arm64-thunderx2-linuxapp-gcc
[22] arm64-thunderx2-linux-gcc
[23] arm64-thunderx-linuxapp-gcc
[24] arm64-thunderx-linux-gcc
[25] arm64-xgene1-linuxapp-gcc
[26] arm64-xgene1-linux-gcc
[27] arm-armv7a-linuxapp-gcc
[28] arm-armv7a-linux-gcc
[29] graviton2
[30] i686-native-linuxapp-gcc
[31] i686-native-linuxapp-icc
[32] i686-native-linux-gcc
[33] i686-native-linux-icc
[34] ppc_64-power8-linuxapp-gcc
[35] ppc_64-power8-linux-gcc
[36] x86_64-native-bsdapp-clang
[37] x86_64-native-bsdapp-gcc
[38] x86_64-native-freebsd-clang
[39] x86_64-native-freebsd-gcc
[40] x86_64-native-linuxapp-clang
[41] x86_64-native-linuxapp-gcc
[42] x86_64-native-linuxapp-icc
[43] x86_64-native-linux-clang
[44] x86_64-native-linux-gcc
[45] x86_64-native-linux-icc
[46] x86_x32-native-linuxapp-gcc
[47] x86_x32-native-linux-gcc

----------------------------------------------------------
 Step 2: Setup linux environment
----------------------------------------------------------
[48] Insert IGB UIO module
[49] Insert VFIO module
[50] Insert KNI module
[51] Setup hugepage mappings for non-NUMA systems
[52] Setup hugepage mappings for NUMA systems
[53] Display current Ethernet/Baseband/Crypto device settings
[54] Bind Ethernet/Baseband/Crypto device to IGB UIO module
[55] Bind Ethernet/Baseband/Crypto device to VFIO module
[56] Setup VFIO permissions

----------------------------------------------------------
 Step 3: Run test application for linux environment
----------------------------------------------------------
[57] Run test application ($RTE_TARGET/app/test)
[58] Run testpmd application in interactive mode ($RTE_TARGET/app/testpmd)

----------------------------------------------------------
 Step 4: Other tools
----------------------------------------------------------
[59] List hugepage info from /proc/meminfo

----------------------------------------------------------
 Step 5: Uninstall and system cleanup
--------------
最低0.47元/天 解锁文章
lingshengxiyou
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于DPDKsuricata安装和运行
每天分享一个编程小知识
03-30 1892
先用lshw -C network -businfo命令找到网卡的pcie地址,然后在/usr/local/etc/suricata/suricata.yaml文件中配置suricata DPDK,主要修改interface和copy-iface配置。suricata是一个基于规则的入侵检测和防御引擎,功能强大,但性能可能 差强人意,不过目前最新的7版本已经支持DPDK了,DPDK是Intel提供的高性能网络收发开源库,可想而知,suricata支持DPDK会带来性能的极大提升。
linux配置内存大叶,DPDK-Suricata应用部署
weixin_42318727的博客
05-09 676
DPDK安装部署1、 DPDK下载下载dpdk-stable-18.02.2.tar.gz并解压,进入解压后dpdk目录下。2、 设置环境变量export RTE_SDK=$PWD,exportRTE_TARGET=x86_64-native-linuxapp-gcc。建议在/etc/profile中设置,设置完后执行source /etc/profile永久生效。可执行echo$RTE_SDK进...
DPDK_Suricata_4.1.rar
08-30
使用DPDK 加速suricata-4.1.4源码。 DPDK版本 dpdk-stable-18.11。 Suricata版本 suricata-4.1.4 。 编译:./configure --enable-dpdk
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据进入SURICATA处理流水线模式。 要做的事 将数据缓冲区展平为完全零复制模式。 使用零拷贝PKT解码和其他层 工作正在进行中 使用https://github.com/vipinpv85/DPDK-Suricata_3.0 SW ACL对方向规则进行分类。 事情完成了 来自数据获取阶段的数据的零副本 添加了4种tx_buffer_flush模式-0:无,1:4、2:8、3:16 对重组后的数据实施SW或HW对称散列。 将dpdk配置移到suricata.yaml 允许多名工人,而不是单名工人 允许带有RSS的多个RX队列(默认) 将dpd
CentOS7.8下安装Suricata7.0
最新发布
qq_24592455的博客
06-21 783
默认情况下,会将所有规则合并到一个文件中 “/var/lib/suricata/rules/suricata.rules”。要启用默认禁用的规则,请使用 /etc/suricata/enable.conf。/var/lib/suricata:状态目录规则、数据集。/var/lib/suricata/目前是没有文件。/var/log/suricata:日志目录。/etc/suricata:配置目录。
DPDK安装部署
01-09
文章目录目录官方手册环境参数环境准备RT Kernel基础软件依赖设置大页内存安装 DPDK获取 DPDK 代码设置环境变量编译安装目标环境目录加载内核模块绑定网卡到新的内核驱动模块适配 Mellanox ConnectX-5 网卡(可选)...
基于dpdk的ovs软件安装步骤
11-13
### 基于DPDK的OVS软件安装步骤详解 #### 一、概述 随着网络技术的快速发展,软件定义网络(SDN)的概念逐渐被广泛接受并应用到实际场景中。Open vSwitch (OVS)作为SDN领域的重要组成部分,其性能优化一直是业界关注...
DPDK-ethtool imiss丢调试说明.doc
07-28
DPDK-ethtool imiss 丢调试说明 DPDK-ethtool 是一个强大的网络调优工具,它可以对网卡进行错误统计、imiss 统计。通过阅读代码,我们可以了解到,imiss 的值是通过读取 x710 网卡的 GLPRT_RDPC 寄存器以及 ...
suricata抓包方式之一 AF_PACKET
weixin_34150224的博客
11-07 919
1、前言     linux提供了原始套接字RAW_SOCKET,可以抓取数据链路层的报文。这样可以对报文进行深入分析。今天介绍一下AF_PACKET的用法,分为两种方式。第一种方法是通过套接字,打开指定的网卡,然后使用recvmsg读取,实际过程需要需要将报文从内核区拷贝到用户区。第二种方法是使用packet_mmap,使用共享内存方式,在内核空间中分配一块内核缓冲区,然后用户空间程序调用mm...
Centos7部署Suricata
m0_55593211的博客
04-25 1922
Centos 7部署Suricata Centos开启混杂模式 网卡的混杂模式,在该模式下网卡会将网络上的数据一并抓获。 [ROOT]# ifconfig eth1 promisc 设置混杂模式 [ROOT]# ifconfig eth1 -promisc 取消混杂模式 混杂模式开启后网卡会多出 “PROMISC” 安装依赖 安装依赖: yum -y install gcc libpcap-devel pcre-devel libyaml-devel file-devel zlib-devel j
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata镜像流量解析--Suricata部署
Zpz501的博客
01-05 5261
突然讲镜像流量解析有一些突兀,那就大致讲一下为什么要做流量镜像吧。 目前公司的应用安全防火墙(WAF)基于日志做的拦截,日志来源于Nginx服务器的lua模块,对于Nginx性能有一定的损耗,加上系统解耦的需要。所以考虑用流量镜像的方式,部署单独的集群对日志进行处理,好处有下边几点: 1. 系统解耦; 2. 提高lua拦截模块性能; 3. 满足WAF业务更多的特殊需求,如攻击统计,展示,告
suricataDPDK收发
finley_feng的博客
06-06 288
->LiveRegisterDevice(遍历pre_live_devices链表,读取pcie地址到live_devices链表中,后续提供网口pcie相关的函数都是从live_devices链表获取,比如LiveGetDeviceCount)-->LiveRegisterDeviceName(读取所有DPDK配置的pcie地址接口,放到pre_live_devices链表中)DPDK的收也是增加了runmode-dpdkintel.c和source-dpdkintel.c两个文件。
CENTOS上的网络安全工具(一)Suricata 离线部署
lhyzws的专栏
04-17 4853
构造rpm及其依赖的离线安装环境 离线安装suricata离线更新suricata规则,使用suricata离线检查pcap
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 1588
本文介绍了Suricata基于DPDK捕获模式的安装,运行,难点主要在DPDK驱动的安装
suricataDPDK收发线程模型和配置说明
每天分享一个编程小知识
05-11 1040
suricataDPDK的收发线程模型以及相关的配置。
suricata+pfring安装部署
yztezhl的专栏
03-14 1824
suricata+pfring安装部署
dpdk抓包后通过nDPI识别协议,最后形成pcap
07-13
根据你提供的代码片段,可以看出你正在使用 `nDPI` 库对 `DPDK` 抓取的数据进行协议识别,并将识别结果写入到新的 pcap 文件中。 在代码中,`$READER` 变量指向了一个文件路径,这个路径代表了 `nDPI` 库提供的用于读取和解析数据的程序。 首先,脚本中的 `build_results` 函数遍历了指定目录中所有以 `.pcap` 扩展名结尾的文件(通过 `PCAPS` 变量保存文件名列表),并使用 `$READER` 执行命令对每个 pcap 文件进行处理。 命令 `$READER -q -i pcap/$f -w result/$f.out` 的含义如下: - `-q` 参数表示以静默模式运行,即不输出额外的信息。 - `-i pcap/$f` 参数指定要读取的 pcap 文件路径。 - `-w result/$f.out` 参数指定要写入的结果文件路径。 这个命令的作用是将输入的 pcap 文件通过 nDPI 库进行解析,并将识别结果写入到 `result/$f.out` 文件中。 接下来,`check_results` 函数对已经生成的结果文件进行检查。它使用相似的逻辑遍历 `PCAPS` 列表中的每个 pcap 文件: - 首先,检查对应的结果文件是否存在。 - 如果结果文件存在,首先执行命令 `$READER -q -i pcap/$f -w /tmp/reader.out`,将输入文件通过 nDPI 库处理,并将结果写入到临时文件 `/tmp/reader.out` 中。 - 接着,使用 `diff` 命令比较结果文件和临时文件的差异,使用 `wc -l` 命令统计差异行数,并将结果存储在 `NUM_DIFF` 变量中。 - 如果差异行数为 0,则打印 `"$f OK"` 表示结果一致。 - 否则,打印 `"$f ERROR"` 表示结果不一致,并打印执行的命令和差异的内容。 - 最后,删除临时文件 `/tmp/reader.out`。 整个脚本的目的是使用 `nDPI` 库对抓取的数据进行协议识别,生成对应的结果文件,并在检查阶段验证识别结果是否正确。如果识别结果与期望结果不一致,则输出错误信息,并将退出状态码设为 1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值