af_packet vs pfring

PF_RING 技术解析:高性能数据包处理框架
已于 2022-04-20 17:39:41 修改
阅读量1.2k 收藏 4
点赞数
CC 4.0 BY-SA版权
分类专栏: linux 文章标签: 网络安全
于 2022-03-22 09:43:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun007700/article/details/123652609

PF_RING首页、文档和下载 - 高速数据包处理框架 - OSCHINA - 中文开源技术交流社区

PF_RING简单介绍 - 知乎

PF_RING设计

从前面的介绍可以看出,轮询和mmap都可以提升数据包抓取性能,所以在PF_RING中,沿用了这两种技术。另外,PF_RING还引入了环形buffer。

PF_RING架构

图2给出了PF_RING的整体架构设计,在介绍完轮询、mmap和缓行buffer后,PF_RING的工作过程看图2就一目了然了。具体流程如下:

  • 应用调用mmap进行内存映射;
  • 数据包到达网卡后,处理器以轮询的方式将数据包写到环形buffer;
  • 应用调用read从环形buffer里面读数据包;

af_packet vs pfring

suricata抓包方式之一 AF_PACKET - Rabbit_Dale - 博客园

前言

    linux提供了原始套接字RAW_SOCKET,可以抓取数据链路层的报文。这样可以对报文进行深入分析。今天介绍一下AF_PACKET的用法,分为两种方式。第一种方法是通过套接字,打开指定的网卡,然后使用recvmsg读取,实际过程需要需要将报文从内核区拷贝到用户区。第二种方法是使用packet_mmap,使用共享内存方式,在内核空间中分配一块内核缓冲区,然后用户空间程序调用mmap映射到用户空间。将接收到的skb拷贝到那块内核缓冲区中,这样用户空间的程序就可以直接读到捕获的数据包了。PACKET_MMAP减少了系统调用,不用recvmsg就可以读取到捕获的报文,相比原始套接字+recvfrom的方式,减少了一次拷贝和一次系统调用。libpcap就是采用第二种方式。suricata默认方式也是使用packet mmap抓包。

2、测试例子

  为了方便测试,可以使用linux提供的sock_filter过滤ip地址。使用tcpdump可以反汇编出来过滤的条件。以www.qq.com为例进行说明:

ping www.qq.com得到ip地址:101.226.103.106

高速数据包捕获、过滤和分析PF_RING
虹科网络安全的博客
06-23 1955
PF_RING™是一种新型的网络套接字,可显着提高数据包捕获速度,并且具有以下特性: 适用于Linux内核2.6.32及更高版本。 无需修补内核:只需加载内核模块。 使用商用网络适配器的10 Gbit硬件数据包过滤 用户空间ZC(新一代DNA,Direct NIC Access,直接NIC访问)驱动程序可实现极高的数据包捕获/传输速度,这是因为NIC NPU(网络处理单元)在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10GbitZC驱动程序,您可以以线速发送或接收任何大小的数据.
Suricata+PF_RING安装详解
Ran's Hacking Zone
06-15 4348
1. 前言 Suricata的安装包可以从 github上克隆安装,可以从Suricata官网进行下载。本文的测试以github上的版本为例。 本文的测试平台为 CentOS release 6.7 (Final),不同Linux平台类似。 由于实际需求,本文中的Suricata编译将加入PF_RING零拷贝工具。 2. Suricata Build Info 详解[root@monster sur
linux报文高速捕获技术对比--napi/libpcap/afpacket/pfring/dpdk/xdp
热门推荐
网络安全研究
11-19 1万+
研究者们发现,Linux内核协议栈在数据包的收发过程中,内存拷贝操作的时间开销占了整个处理过程时间开销的65%,此外层间传递的系统调用时间也占据了8%~10%。我们可以看到,相对与libpcap_mmap来说,pfring允许用户空间内存直接和rx_buffer做mmap。DPDK在极端场景(如100GbE+低延迟交易)有轻微优势,但AF_XDP在主流场景已足够接近,且无需独占网卡。pf-ring zc和dpdk均可以实现数据包的零拷贝,两者均旁路了内核,但是实现原理略有不同。的技术,两者都能实现。
gopacket数据捕获实战:PCAP、AF_PACKET与PF_RING
gitblog_00442的博客
08-27 393
gopacket数据捕获实战:PCAP、AF_PACKET与PF_RING gopacket作为Go语言生态中强大的网络数据包处理库,通过深度集成libpcap实现了跨平台支持,提供了AF_PACKET高性能Linux捕获机制和PF_RING零拷贝技术应用。本文详细解析了gopacket的架构设计、平台适配策略、性能优化方法以及自定义数据源接口的实现,为开发者构建高性能网络数据包处理和分析应用提供...
PF_RING使用BPF过滤器
任薛纪的专栏
03-21 3345
转载:http://blog.chinaunix.net/uid-10540984-id-3240755.html PF_RING是支持BPF过滤器的,这个在PF_RING的UserGuide中也有相应的函数原型说明。 当编译创建配置的时候,也可以关闭BPF的支持。 ./userland/lib/configure --disable-bpf 默
Linux网络报文捕获/抓包技术对比:napi、libpcap、afpacket、PF_RING、PACKET_MMAP、DPDK、XDP(eXpress Data Path)
RToax
10-25 8616
Table of Contents 1.传统linux网络协议栈流程和性能分析 协议栈的主要问题 针对单个数据包级别的资源分配和释放 流量的串行访问 从驱动到用户态的数据拷贝 内核到用户空间的上下文切换 跨内存访问 2. 提高捕获效率的技术 预分配和重用内存资源 数据包采用并行直接通道传递. 内存映射. 数据包的批处理. 亲和性与预取. 3. 典型收包引擎 3.1 libpcap 3.2 libpcap-mmap 3.3 PF_RING 3.4 PACKET_MMAP
Linux ubuntu PF_RING+libpcap 极速捕获千兆网数据包,不丢包
chengfangang的专栏
02-25 6691
http://blog.chinaunix.net/uid-23225855-id-3228867.html 上一篇文章讲到了libpcap 捕获数据包,尤其在千兆网的条件下,大量的丢包,网上搜索好久,大概都是PF_PACKET +MMAP,NAPI,PF_RING之类的方法,我对PF_RING+libpcap进行实验,发现千兆网条件下,捕获数据包的性能很好,几乎不丢包,Linux Fe
生成一个pf_ring的接收组播的代码
06-12
packet = pfring_recv(handle, &hdr); if (packet) { // 处理接收到的数据包 if (hdr.len > BUFFER_SIZE) { printf("Packet too large: %d bytes\n", hdr.len); } else { memcpy(buffer, packet, hdr.len); ...
使用原始套接字收取报文是,可以绑定网卡,但是不能绑定到网卡的每个队列上?
最新发布
10-28
### **原始套接字(`AF_PACKET`)能否绑定到网卡的特定队列?** **答案:默认情况下,原始套接字(`... pfring_bind(sockfd, "eth0", queue_id); ``` - `DPDK` 通过 `rte_eth_rx_queue_setup()` 直接管理队列。 ---
UDP接收万兆网卡数据C代码
07-03
pfring_zc_cluster *cluster = pfring_zc_create_cluster(0, 1234, 0x0000, 128, 0, NULL); pfring_zc_queue *in_q = pfring_zc_open_device(cluster, "eth0", RX_ONLY); while (1) { pfring_zc_pkt_buff *pkt_...
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 1047
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata的netmap抓包模式安装
08-15 1108
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(...
suricata在netmap模式无法抓包的原因
superbfly的专栏
03-22 2350
问题描述suricata在很早就支持了netmap,但最近在用的时候却发现开启netmap抓包后总是获取不到数据包。 使用netmap自带的pke-gen工具测试,结果证明不是netmap的问题。 只能去suricata源码里查原因了。问题定位问题出在source-netmap.c文件的NetmapOpen函数中,具体位置如下: if (ioctl(pring->fd, NIOCR
rpm安装telnet_suricata的netmap抓包模式的安装说明
weixin_39688856的博客
11-30 299
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线 pcap 处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的 Lua 脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如 YAML 和 JSON),使用现有的 S...
AF_PACKET抓包过程
bulabulabu_1的博客
01-26 734
简单、快速理解socket、PF_PACKETAF_PACKET
Vsprintf简介--附实现源码
johnsonxjq的专栏
03-26 2863
Vsprintf简介--附实现源码 vsprintf      #include <stdarg.h>   char buffer[80];   int vspf(char *fmt, ...)   {   va_list argptr;   int cnt;   va_start(argptr, fmt);   cnt = vsprintf(buffer, fmt, argptr);   va_end(argptr);   return(c...
网络入侵检测系统之Suricata(一)
诗酒趁年华
12-25 4278
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
一些函数
deiska的专栏
02-27 306
void Uart_Printf(char *fmt,...) //...表示可变参数(多个可变参数组成一个列表,后面有专门的指针指向他),不限定个数和类型, { va_list ap;//初始化指向可变参数列表的指针 char string[256]; va_start(ap,fmt);//将第一个可变参数的地址付给ap,即ap指向可变参数列表的开始 vsprintf(string,f
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值