suricata当to_client 和to_server方向的报文,有1个有vlan id,1个没有vlan id时的处理 1444 use-for-tracking: false ,改成false,这样可以忽略vlan id在flow hash中的计算值。然后为了在告警日志中输出vlan id,把p->vlanid 赋值给p->flow->vlanid ,在 FlowHandlePacketUpdate函数里插入下面的代码。在alert告警日志中输出p->flow->vlan_id。上面的g_vlan_mask 就是从配置文件读取的数值。在 FlowGetHash 函数中。
ubuntu 安装pf-ring 来测试suricata 性能 然后入 PF_RING/drivers/intel/ixgbe/ixgbe-5.19.6-zc/src/ 目录开始make ,xgbe-5.19.6这个文件夹的5.19是当前内核版本,使用uname -r命令 和显示的内核版本保持一致。进入 userland/lib , userland/libpcap/ , kernel/linux 目录中,make && make install 加载库文件到本地。然后执行 ./load_driver.sh ,插入到内核中。然后进入kernel目录,make编译,
ubuntu 来安装libbpf 然后cd libbpf-bootstrap/libbpf/src,make && make install 安装库文件到本地。libbpf.so.1 安装到本地成功,libbpf安装成功。
ebpf和xdp之间的关系 该模式会直接将XDP程序卸载到网卡上,从而彻底释放主机CPU资源,相较于原生模式,具有更高的性能。目前支持的网卡似乎只有Netronome智能网卡。suricata使用ebpf中的vlan模式来启动程序时,要先设定vlan id,return -1是正确返回,return 0是错误返回。即驱动模式,在该模式下的XDP程序运行在网络驱动程序的早期路径,需要网卡驱动程序的支持,而10G及以上速率的大多数网卡基本都是支持的;该模式下的XDP程序运行于驱动之后的位置,无需驱动支持,但性能较差,一般用于测试。
关注
