suricata的netmap抓包模式安装

最新推荐文章于 2023-08-24 14:56:07 发布
最新推荐文章于 2023-08-24 14:56:07 发布
阅读量958 收藏 2
点赞数 1
文章标签: 网络 内核 linux java python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mseaspring/article/details/108031074
版权

suricata 简介

Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线 pcap 处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的 Lua 脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如 YAML 和 JSON),使用现有的 SIEMs、Splunk、Logstash/Elasticsearch、Kibana 和其他数据库等工具进行集成将变得非常简单。Suricata 项目和代码由开放信息安全基金会(OISF)拥有和支持,OISF 是一个非盈利基金会,致力于确保 Suricata 作为一个开源项目的开发和持续成功。

suricata 支持多种抓包模式,比如通过 AF-packet 抓包,比如采用 PF_RING(高性能的网络库,免费版本不支持 Zero Copy)抓包,还支持 Netmap 抓包三种模式,其中性能最好的就是 netmap 抓包模式,本文就是介绍如何编译 netmap 版本的 suricata。

一 安装前准备

suricata 可以正常编译的临时下做以下操作检查。
1)netmap 是需要更改网卡驱动的,所以开始时候必须看下网卡的类型,采用命令如下:

[root@localhost ~]# ethtool -i p1p1
driver: ixgbe
version: 5.3.7
firmware-version: 0x800003af
expansion-rom-version:
bus-info: 0000:01:00.0
supports-statistics: yes
supports-test: yes
supports-eeprom-access: yes
supports-register-dump: yes
supports-priv-flags: yes

通过上面命令看到驱动程序对应的网卡类型为 ixgbe 即 10G 即万兆网卡,英特尔的 10G 网卡(例如,82598、82599,x540)由 ixgbe 驱动支持,我们以后应该限制住网卡类型。对于常见的驱动,我们在安装过一次的 netmap 后,netmap 会自动下载这些驱动文件,我们提供的 netmap 软件最好使用这些驱动,防止客户环境无法下载这些驱动了。
2)内核源码查看 netmap 编译的时候需要内核源码的支持,需要先查看内核的版本,并且在/ usr / src 目录下看看是否存在内核源码,如果不存在则需要下载内核的内核并解压缩,放到此处。

[root@localhost netmap-master]# uname -r
3.10.0-693.el7.x86_64

或者:

[root@localhost netmap-master]# rpm -qa|grep kernel
kernel-3.10.0-693.el7.x86_64
kernel-tools-libs-3.10.0-693.el7.x86_64
kernel-headers-3.10.0-693.21.1.el7.x86_64
kernel-devel-3.10.0-693.el7.x86_64
kernel-tools-3.10.0-693.el7.x86_64

查询到内核版本后,可以查看源码是否存在:

[root@localhost ~]# ll /usr/src/
debug/   kernels/
[root@localhost ~]# ll /usr/src/
debug/   kernels/
[root@localhost ~]# ll /usr/src/kernels/
总用量 4
drwxr-xr-x. 22 root root 4096 9月  11 10:28 3.10.0-693.el7.x86_64

二 netmap 编译和安装

  1. 以下为 makefie 文件生成和编译安装,说明如下:--drivers 后面带着网卡的类型。--kernel-sources 和 --kernel-dir 指定内核内核位置,如果内核内核为/usr/src/kernels 下面则可以不提供这两个选项。make install 命令需要 root 权限。

./configure  --kernel-sources=/usr/src/kernels/$(uname -r) --kernel-dir=/usr/src/kernels/$(uname -r) --prefix=/usr
make&& make install

  1. 网卡上参数设置: 网卡本身有些技术提升抓包性能,对于 suricata 的抓包来说,需要关闭,下面参考 suricata 的相关文档来设置的

  • LRO/GRO 关闭 数据包在数据量链路层传输的时候不能超过 MTU(1500 个字节),那么就需要进行拆包和组包,这部分工作如果有 cpu 来做,将耗费 cpu 资源,LRO 和 GRO 技术是由网卡来进行组包和拆包。这是 suricata 的限制.ethtool -K p1p1 gro off lro off

  • 关闭硬件校验 如果启动这个,dsize 在 suricata 中不可用了和 tcp 状态的跟踪,如果不用这个关键字可以考虑打开。ethtool -K p1p1 tx off rx off

  • 合并队列 对很多网卡来说,不支持对称 hash 算法的话,如果多队列,会造成同一个流不同方向的包发到不同的队列上去,对 suricata 组包会有问题,所以大部分情况下,我们把队列个数改成 1 个,如果性能要求比较高,网卡支持对称 hash 算法的话,我们会考虑设置对称 hash 算法和改成多个队列的模式.

[root@localhost ~]# ethtool -l p1p1
Channel parameters for p1p1:
Pre-set maximums:
RX:     0
TX:     0
Other:      1
Combined:   63   #一共支持多少个队列
Current hardware settings:
RX:     0
TX:     0
Other:      1
Combined:   4  #现在起作用的是多少个队列

合并成一个队列

ethtool -L p1p1 combined 1

  • 网卡队列中包数目修改 网卡丢包原因可以通过以下命令查看:

[root@localhost netmap-master]# ethtool -S p2p1|grep 'error'
     rx_errors: 0
     tx_errors: 0
     rx_over_errors: 0
     rx_crc_errors: 0
     rx_frame_errors: 0
     rx_fifo_errors: 0
     rx_missed_errors: 0
     tx_aborted_errors: 0
     tx_carrier_errors: 0
     tx_fifo_errors: 0
     tx_heartbeat_errors: 0
     rx_long_length_errors: 0
     rx_short_length_errors: 0
     rx_csum_offload_errors: 0
     fcoe_last_errors: 0
[root@localhost netmap-master]# ethtool -S p2p1|grep 'drop'
     rx_dropped: 0
     tx_dropped: 0
     rx_fcoe_dropped: 0

如果是 rx_missed_errors 错误个数很多,需要扩大些队列的包数量. 如果是 rx_dropped 多般是程序取包慢了造成缓冲区满了,包被丢掉,如果这种情况,扩大队列数量会稍微好点,但是如果流量持续很大,提升程序性能是王道。

#查看网卡队列中可以保存的包的大小。
[root@localhost netmap-master]# ethtool -g p2p1
Ring parameters for p2p1:
Pre-set maximums:
RX:  4096
RX Mini: 0
RX Jumbo: 0
TX:  4096
Current hardware settings:
RX:  512
RX Mini: 0
RX Jumbo: 0
TX:  512

# 队列中的包数量改成1024个,空间增加防止丢包
[root@localhost netmap-master]# ethtool -G p2p1 rx 1024
[root@localhost netmap-master]# ethtool -G p2p1 tx 1024

  1. 替换网卡驱动 如果是你替换的是 ssh 或 telnet 的网卡,会造成掉线,有时候也只是闪断。

#!bin/sh
#在netmap下执行替换ixgbe的网卡驱动,网卡类型不同则不同,另外由于netmap会接管整个网卡需要注意下不能正在连接网卡上操作,会造成断网。
insmod netmap.ko
rmmod  ixgbe
insmod /home/xxx/netmap-master/ixgbe-5.3.7/src/ixgbe.ko

验证安装结果:

[root@localhost ~]# ls /dev/netmap
/dev/netmap
[root@localhost ~]# lsmod|grep netmap
netmap                165523  1 ixgbe
# 看下内核日志
[root@localhost ~]# dmesg|grep netmap

  1. 运行测试程序 pkt-gen 是 netmap 自带的发包和收包工具,性能比 tcpreplay 更好,可以跑满网卡。位置如下:

[root@localhost netmap-master]# tree ./build-apps/pkt-gen/
./build-apps/pkt-gen/
├── GNUmakefile -> /home/miaohq/netmap-master/LINUX/../apps/pkt-gen/GNUmakefile
├── pkt-gen
├── pkt-gen-b
└── pkt-gen-b.o

用法如下:

#发包命令:
 pkt-gen -i p1p1 -n 100000 -z -Z -4 -l 512 -f tx

#收包命令:
 pkt-gen -i p1p1 -f rx

对于物理网卡来说,都有其网速极限,这个极限被称为线性速度,包的大小不同,pps 即每秒转发包的数量不同,极限如下:

For a physical link, the maximum numer of packets per second can
be computed with the formula:
    pps = line_rate / (672 + 8 * pkt_size)
where "line_rate" is the nominal link rate (e.g 10 Gbit/s) and
pkt_size is the actual packet size including MAC headers and CRC.
The following table summarizes some results
            LINE RATE
    pkt_size \  100M    1G  10G 40G
      64    .1488   1.488   14.88   59.52
     128    .0589   0.589    5.89   23.58
     256    .0367   0.367    3.67   14.70
     512    .0209   0.209    2.09    8.38
    1024    .0113   0.113    1.13    4.51
    1518    .0078   0.078    0.78    3.12

三 suricata 编译安装

./configure --prefix=/usr/local --sysconfdir=/etc/ --localstatedir=/usr/local/ --enable-unix-socket --with-libnss-libraries=/usr/lib64 --with-libnss-includes=/usr/include/nss3 --with-libnspr-libraries=/usr/lib64 --with-libnspr-includes=/usr/include/nspr4  --enable-nfqueue --enable-lua --enable-netmap

关键部分就是带上了--enable-netmap 然后再进行make && make install 即可完成编译安装。

验证编译后可执行文件是否支持 netmap,可以通过以下命令查看:

[root@localhost .libs]# suricata --build-info
This is Suricata version 5.0.3 RELEASE
Features: PCAP_SET_BUFF AF_PACKET NETMAP HAVE_PACKET_FANOUT LIBCAP_NG LIBNET1.1 HAVE_HTP_URI_NORMALIZE_HOOK PCRE_JIT HAVE_NSS HAVE_LIBJANSSON TLS MAGIC RUST
SIMD support: none
Atomic intrinsics: 1 2 4 8 byte(s)
64-bits, Little-endian architecture
GCC version 9.3.0, C version 199901
compiled with _FORTIFY_SOURCE=0
L1 cache line size (CLS)=64
thread local storage method: __thread
compiled with LibHTP v0.5.33, linked against LibHTP v0.5.33

Suricata Configuration:
  AF_PACKET support:                       yes
  eBPF support:                            no
  XDP support:                             no
  PF_RING support:                         no
  NFQueue support:                         no
  NFLOG support:                           no
  IPFW support:                            no
  Netmap support:                          yes v12
....

有此命令:Netmap support: yes 表示支持。

四 诗词欣赏

商山早行
[唐] 温庭筠
晨起动征铎,客行悲故乡。
鸡声茅店月,人迹板桥霜。
槲叶落山路,枳花明驿墙。
因思杜陵梦,凫雁满回塘。
mseaspring
关注
基于DPDK收包的suricata安装和运行
每天分享一个编程小知识
03-30 1977
先用lshw -C network -businfo命令找到网卡的pcie地址,然后在/usr/local/etc/suricata/suricata.yaml文件中配置suricata DPDK收包,主要修改interface和copy-iface配置。suricata是一个基于规则的入侵检测和防御引擎,功能强大,但性能可能 差强人意,不过目前最新的7版本已经支持DPDK收包了,DPDK是Intel提供的高性能网络收发包开源库,可想而知,suricata支持DPDK收包会带来性能的极大提升。
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
最新发布
Simo2024的博客
05-13 1772
本文介绍了Suricata基于DPDK包捕获模式安装,运行,难点主要在DPDK驱动的安装
bro-netmap:适用于BroZeek的本机Netmap数据包IOSource
03-06
Zeek :: Netmap 此插件为Zeek提供本地支持,作为数据包源。 安装 请遵循NETMAP的说明来获取其内核模块以及可能安装的自定义驱动程序。 然后通过Zeek软件包管理器安装此插件: # zkg install zeek/zeek-netmap 要使用NETMAP,Zeek需要对/dev/netmap读写权限。 如果您将该权限授予用户,则可以以非root用户身份运行Zeek。 用法 安装后,可以在命令行上使用netmap::或vale::作为前缀来使用NETMAP接口/端口。 例如,使用NETMAP监视接口eth0 : zeek -i netmap::eth0 Netmap不会在接口上启用混杂模式,您必须自己做。 例如,在Linux上: ifconfig eth0 promisc 要将其用于具有多个Zeek流程的生产中,请使用与node.cfg中类似的配置: [wor
suricata抓包方式之一 AF_PACKET
weixin_34150224的博客
11-07 948
1、前言     linux提供了原始套接字RAW_SOCKET,可以抓取数据链路层的报文。这样可以对报文进行深入分析。今天介绍一下AF_PACKET的用法,分为两种方式。第一种方法是通过套接字,打开指定的网卡,然后使用recvmsg读取,实际过程需要需要将报文从内核区拷贝到用户区。第二种方法是使用packet_mmap,使用共享内存方式,在内核空间中分配一块内核缓冲区,然后用户空间程序调用mm...
rpm安装telnet_suricata的netmap抓包模式安装说明
weixin_39688856的博客
11-30 222
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线 pcap 处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的 Lua 脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如 YAML 和 JSON),使用现有的 S...
suricata在netmap模式用autofp方式抓包有内存泄漏的相关信息
superbfly的专栏
08-26 2228
说个小的发现。 suricata在运行netmap模式进行抓包的时候默认使用的是”workers”的工作方式。 由于其它的都是“autofp”的方式,所以就带着疑问上google上查了一下。没想到还真查到点东西。 https://redmine.openinfosecfoundation.org/issues/1717 这是论坛里找到的,大体意思是说在suricata 3的版本使用netma
suricata安装以及流量抓包
qq_39744805的博客
08-24 257
安装wazuh的agent上篇博客有提到。与wazuh联动,所以查看wazuh官方文档配置要求跟着配置一步步走就行到这一步,需要将本台ubuntu的ip写上ip addr查看正在使用的是哪块网卡,例如ens33,写在interface后面全都完成好后重启wazuh-agent和suricata
Arkime+Suricata离线文件包
08-15
Arkime+Suricata离线文件包,含arkime-3.4.2-1.x86_64.rpm、elasticsearch-oss-7.rpm、suricata-4.1.3.tar.gz、arkimeGEO.tar.gz、ipv4-address-space.csv、oui.txt。
suricata-5.0.3源码包
07-30
在CentOS 7上编译源码包需要一定的步骤,包括安装必要的编译工具(如GCC、Make等)、依赖库(如libpcap、pcre、zlib等)以及配置和构建过程。用户需要执行`./configure`、`make`和`make install`等命令来完成编译和...
基于DPDK抓包Suricata安装部署
lingshengxiyou的博客
04-11 616
基于DPDK抓包Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
af_packet_suricata抓包方式之一 AF_PACKET
weixin_39980298的博客
12-19 408
#include #include /*See NOTES*/#include#include#include#include#include#include#include#include#include#include#define ETH_HDR_LEN 14void CallBackPacket(char *data){unsignedchar *ethhead;unsi...
suricata收包模式
唐装鼠的主页
06-05 571
例如,如果您在Linux系统上运行Suricata,并且想要捕获本地网络接口上的数据包,则应使用AF_PACKET模式。如果您在防火墙上运行Suricata,并且想要捕获经过防火墙的数据包,则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例,可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例,可以捕获本地网络接口上的数据包。此模式还支持混杂模式,可以捕获网络上的所有数据包,而不仅仅是发送到本地接口的数据包。
suricata在netmap模式无法抓包的原因
superbfly的专栏
03-22 2257
问题描述suricata在很早就支持了netmap,但最近在用的时候却发现开启netmap抓包后总是获取不到数据包。 使用netmap自带的pke-gen工具测试,结果证明不是netmap的问题。 只能去suricata源码里查原因了。问题定位问题出在source-netmap.c文件的NetmapOpen函数中,具体位置如下: if (ioctl(pring->fd, NIOCR
Netmap 高性能网络I/O框架
闲云孤鹤
02-29 3958
本文转载至:http://www.geekbus.cn/netmap-high-performance-network-io-framework/ 1. Netmap简介 Netmap是一个高性能收发原始数据包的框架,由Luigi Rizzo等人开发完成,其包含了内核模块以及用户态库函数。其目标是,不修改现有操作系统软件以及不需要特殊硬件支持,实现用户态和网卡之间数据包
suricata+bwapp靶场sqlmap实测
我的博客
06-10 836
suricata+bwapp靶场sqlmap实测 文章目录suricata+bwapp靶场sqlmap实测0x01 suricata的配置0x02 启动suricata并攻击靶场1. 启动suricata2. 观察3. 使用sqlmap进行攻击 为了演示suricata的使用效果,搭建了一个子网,里面分别有suricata所在的服务器和一个靶场。 suricata服务器IP:172.16.6.135 bwapp靶场IP:172.16.6.133 攻击机:172.16.6.1 0x01 suricata的配置
NetMap编译搭建
thanfur的专栏
10-23 7243
netmap是Luigi Rizzo(牛人)在FreeBSD和linux下一个高性能抓包的平台.  据说在单核900MHZ的CPU上就能跑出14.8Mpps的性能.         前段时间配置研究了下, 现整理下文档.         基础工作        安装tar解压工具 yum -y installtar        安装lrzsz文件传输工具 yum -y
suricata ips模式 编译安装方法+suricata的一些常见运行命令和注意事项---------未完,待补充
Chaowanq的博客
11-26 1308
suricata ips模式 编译安装方法+一些错误定位或注意事项 一、 suricata ips模式 编译安装运行方法 1>安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev li
suricata 3.1 源码分析22 (数据包处理2)
superbfly的专栏
09-27 2087
对数据包进行进一步处理的TmThreadsSlotVarRun函数原型如下: TmEcode TmThreadsSlotVarRun(ThreadVars *tv, Packet *p,TmSlot *slot) 按照函数头的注释说明,这个函数被从母函数中拉出来独立存在的原因是,为了能够对其进行递归调用。函数主流程是一个遍历所有slot的for循环,/** * \brief S
af_packet vs pfring
sun007700的专栏
03-22 1061
af_packet vs pfring
Suricata用户指南:二进制包安装与规则详解
安装部分,Suricata提供了两种方式:源代码安装和二进制包安装。源代码安装允许用户自定义配置选项和依赖包,适合对系统有深入理解的用户。二进制包安装则更为简便,针对不同的Linux发行版(如Ubuntu、Debian、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值