网络数据捕获之PF_RING

最新推荐文章于 2023-08-29 13:55:42 发布
最新推荐文章于 2023-08-29 13:55:42 发布
阅读量3k 收藏 1
点赞数
分类专栏: 工具 学习 文章标签: linux socket 网络 优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shamofeiyu/article/details/8653111
版权

Linux环境下需要监听网络数据最简单的可以使用SOCK_RAW原始套接字或者直接调用专门进行网络抓包的库接口libpcap,

但是是针对千兆网数据捕获就会有瓶颈,而且随着数据流量的增大捕获主机的CPU会有很大的负担,本人曾亲测使用原始套

接字进行千兆网数据捕获评测,i7服务器主机,网络数据全是1400Byte大包,码率加到600Mbps左右就会出现间歇性丢包

(丢包通过在发包端对数据打上连续计数值,而在接收端校验该连续计数值判断),而且CPU占用率高达40%。

明显存在性能瓶颈,不是很好的千兆网数据捕获解决方案,为此调研了一款开源的高效数据捕获框架PF_RING.


http://www.ntop.org/products/pf_ring/


该捕获方案采用在内核层开出一个比较大的环形缓冲,然后应用层通过mmap映射到内核的缓冲空间,从增加底层缓存到减少

应用层系统调用等方面做了优化,数据捕获性能有了质的提高,而且其从驱动到应用层的接口库都是开源的,例子程序也很全。


官方的测试结果:


1 Gigabit tests performed using a Core2Duo 1.86 GHz, Ubuntu Server 9.10 (kernel 2.6.31-14), and an IXIA 400 traffic generator injecting traffic at wire rate (64 byte packets, 1.48 Mpps):

e1000e
Applicationtransparent_mode=0transparent_mode=1transparent_mode=2
pfcount (with -a flag)757 Kpps795 Kpps843 Kpps
pfcount (without -a flag)661 Kpps700 Kpps762 Kpps
pcount (with PF_RING-aware libpcap)730 Kpps763 Kpps830 Kpps
pcount (with vanilla libpcap)544 Kpps
pfcount (with PF_RING DNA)1’170 Kpps
igb
Applicationtransparent_mode=0transparent_mode=1transparent_mode=2
pfcount (with -a flag)650 Kpps686 Kpps761 Kpps
pfcount (without -a flag)586 Kpps613 Kpps672 Kpps
pcount (with PF_RING-aware libpcap)613 Kpps644 Kpps711 Kpps
pcount (with vanilla libpcap)544 Kpps
pfcount (with PF_RING DNA)



e1000e\igb分别为intel的两款网卡驱动,transparent_mode为PF_RING驱动加载时的参数。PF_RING效率最高的是DNA (Direct NIC Access)模式,

但是该模式代码并未全部开源,而且使用有限制。


本人亲测在Atom D525上,intel 82574网卡芯片,1400Byte大包可以达到960Mbps满速率,24小时没有任何丢包。而且CPU使用率仅为10左右。

但是官方的提供的PF_RING 5.2.3版本及以下存在一个bug,长时间运行会出现丢包问题,特别是在Atom系列这样性能比较弱的处理器上比较明显,

属于软件bug,而非框架性能瓶颈。

shamofeiyu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
pfring数据捕获
04-04
被动数据包采集,pfring技术文档,网络数据捕获
PF_RING DNA 破解
09-14
PF RING DNA 破解 Zero copy
在ubuntu16.04上利用pf_ring加速libpcap进行抓包,千兆网运行流畅,不丢包
fengsuiyunqing的博客
12-07 1603
最近项目需要,需要在千兆网下进行收包,带宽在800Mb左右,传统socket或者rawsocket很容易丢包,因而使用libpcap抓包。经测试,libpcap的接收速度远不如传统socket或者rawsocket,但是好处就是收包比较稳定,并没有丢包现象,据查,linux版本的libpcap是在应用层做的,内部使用的就是rawsocket(不知真假),怪不得时间那么慢。为了提示收取速度,引入pf...
WireShark流量抓包详解与例题重现
最新发布
m0_74344277的博客
08-29 778
说明:数据包列表区中不同的协议使用了不同的颜色区分。协议颜色标识定位在菜单栏View --> Coloring Rules。如下所示WireShark 主要分为这几个界面1. Display Filter(显示过滤器), 用于设置过滤条件进行数据包列表过滤。菜单路径:Analyze --> Display Filters。2. Packet List Pane(数据包列表), 显示捕获到的数据包,每个数据包包含编号,时间戳,源地址,目标地址,协议,长度,以及数据包信息。
ntop 抓包优化 PF_RING + TNAPI
Hello World!
11-08 2332
<br />PF_RING<br />http://www.ntop.org/PF_RING.html<br /> <br />TNAPI<br />http://www.ntop.org/TNAPI.html
高速数据捕获、过滤和分析PF_RING
虹科网络安全的博客
06-23 1695
PF_RING™是一种新型的网络套接字,可显着提高数据捕获速度,并且具有以下特性: 适用于Linux内核2.6.32及更高版本。 无需修补内核:只需加载内核模块。 使用商用网络适配器的10 Gbit硬件数据包过滤 用户空间ZC(新一代DNA,Direct NIC Access,直接NIC访问)驱动程序可实现极高的数据捕获/传输速度,这是因为NIC NPU(网络处理单元)在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10GbitZC驱动程序,您可以以线速发送或接收任何大小的数据.
【转】CentOS安装PF_RING(虚拟机)
db5404的博客
08-28 198
1. 概述 PF_RING是Luca Deri发明的提高内核处理数据包效率,并兼顾应用程序的补丁,如Libpcap和TCPDUMP等,以及一些辅助性程序(如ntop查看并分析网络流量等)。PF_RING是一种新型的网络socket,它可以极大的改进包捕获的速度。并且有如下特征: 1) 可以用于Linux 2.6.18以上的内核; 2) 4.x版本的PF_RING可以直接...
PF_RING 总结
weixin_33716941的博客
08-06 236
1.背景 目前收包存在的问题: 第一:inpterrupt livelock, 当收到包的时候,网卡驱动程序就会产生一次中断。在大流量的情况下,操作系统将花费大量时间用于处理中断,而只有 少量的时间用于其他任务。 第二:将包从网卡移动到用户层花费的时间太久。 2.PF_RING的目标 1. 充分利用 device polling 机制 2. 减少内核开销,开辟一条...
PF_RING + libpcap 兼容打开网络设备实现
liulilittle的博客
05-30 589
本文采用 PF_RING(8.0) 发行版本为例: libpcap 1.9.1(PF_RING修改支持PF_RING的发行版本,PF_RING(8.0)编译源码包内已经自带,自行编译即可) 以下是C++语言不引入 pfring.h 头文件,建议使用到的一些关键函数,“pcap_get_pfring” 宏可以从 pcap_t 类型之中获取pf_ring 的句柄(实为一个内存结构地址标识符) #ifdef HAVE_PF_RING // #include <pfring.h> // #i
PF_RING-7.6.0.tgz
04-06
PF_RING是一种可显着提高数据捕获速度新型的网络套接字。
多核CPU下基于PF_RING和设备轮询机制的高性能包捕获技术研究.ppt
06-03
多核CPU下基于PF_RING和设备轮询机制的高性能包捕获技术研究
PF_RING用户中文指南.rar
07-17
简单来说PF_RING 是一个高速数据捕获库,通过它可以实现将通用 PC 计算机变成一个有效且便宜的网络测量工具箱,进行数据包和现网流量的分析和操作。同时支持调用用户级别的API来创建更有效的应用程序。
PF_RING:高速数据包处理框架
07-23
PF_RING:trade_mark: 不仅使您能够更快地捕获数据包,还可以更有效地捕获数据包,从而保留 CPU 周期。 文档 如果您想了解有关 PF_RING:trade_mark: 的更多信息,请访问和。 细节 有关 PF_RING:trade_mark: 和其他 ...
基于 IPv6 的 PF_RING ZC 数据捕获技术在 IDS 中的应用.pdf
03-11
在IDS中,传统数据分组的捕获是从网卡复制到内核,再由内核复制到用户空间,这导致了...为了提升捕获包效率,采用多线程思想,通过PF_RING ZC技术实现零拷贝,把PF_RING ZC捕获数据分组的方法做成动态链接库,并集成到Snort中
PF_Ring.rar_pf ring_pf_ring 开发_pfring_pfring broadcast_环形 数据
09-24
Linux下的一个数据捕获机制。采用一个环形缓冲有效提高包捕获率。
Linux系统非正常掉电后无法启动的处理办法
01-04 5032
Linux系统在启动时会检查文件系统是否完好,如果之前是非正常掉电或者RTC时钟滞后于文件系统记录的最晚文件修改时间,系统都会认为文件系统出了问题,为了保证数据安全,系统一般会默认以只读方式挂载文件系统,这时可以输入root的密码登录,确认是文件系统出问题的原因或者完成数据备份后,可以用以下命令进行修复: mount -o remount,rw / fsck -y 完成修复后断电重启,就
Linux基本网络设置(IP配置等,网卡驱动缓存,网卡中断)
08-11 4342
都是一些很基本的设置,但是长时间不使用老是会忘,好记性不如烂笔头,在此记录一下吧 1.简单配置 a.修改IP地址和掩码 ifconfig eth0 192.168.0.100 netmask 255.255.255.0 b.修改网关,对于多网卡多网段的机器,需要配置一个默认网关 route add default gw 192.168.0.1 dev eth0 c.修改DNS,域名
嵌入式Linux环境下线程CPU消耗跟踪
03-16 4210
在比较大型的项目中,通常都会使用多线程技术,而且通常是多人合作开发,各方自测OK之后,整合在一起往往会出现一些问题,CPU使用率过高就是其中之一。如何在不熟悉所有模块代码的情况下,快速的定位到具体哪一个线程在消耗CPU,显得很有必要。在X86上,可以借助一些工具进行定位分析,但是在嵌入式系统中,工具就比较匮乏,各命令功能也比较简单,就不好定位。现介绍一种简单通用的办法: 第一步: 获取各个线程
PF_RING 编译问题解决
06-02
PF_RING 是一个高性能的数据捕获框架,如果在编译时遇到问题,可以尝试以下解决方法: 1. 检查依赖项是否安装完整。在 Ubuntu 系统上,可以使用以下命令安装依赖项: ``` sudo apt-get install libpcap-dev ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值