数据包采集

PF_RING™

高速数据包捕获、过滤和分析

PF_RING™是一种新型的网络套接字,可显着提高数据包捕获速度,并且具有以下特性:

  1. 适用于Linux内核2.6.32及更高版本。
  2. 无需修补内核:只需加载内核模块。
  3. 使用商用网络适配器的10 Gbit硬件数据包过滤
  4. 用户空间ZC(新一代DNA,Direct NIC Access,直接NIC访问)驱动程序可实现极高的数据包捕获/传输速度,这是因为NIC NPU(网络处理单元)在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10Gbit ZC驱动程序,您可以以线速发送或接收任何大小的数据包。
  5.  PF_RING ZC库,用于在线程、应用程序、虚拟机之间以零拷贝分发数据包。
  6. 设备驱动程序独立。
  7.  支持Accolade,Exablaze,Endace,Fiberblaze,Inveatech,Mellanox,Myricom / CSPI,Napatech,Netcope和Intel(ZC)网络适配器。
  8. 基于内核的数据包捕获和采样。
  9. Libpcap支持(请参见下文)可与现有的基于pcap的应用程序无缝集成。
  10. 除BPF外,还可以指定数百个标题过滤器。
  11. 内容检查,以便仅通过与有效负载过滤器匹配的数据包。
  12. PF_RING™插件,用于高级数据包解析和内容过滤。

了解更多详细信息>>

PF_RING ZC (Zero Copy)

来自主机和虚拟机的多10 Gbit RX / TX数据包处理

PF_RING™ZC(零复制)是一种灵活的数据包处理框架,可让您在任何数据包大小下实现1/10 Gbit的线速数据包处理(RX和TX)。它实现了零复制操作,包括用于进程间和VM间(KVM)通信的模式。它可以被视为DNA / LibZero的后继产品,该产品基于过去几年的经验教训提供了一个单独且一致的API。

它具有干净灵活的API,可实现可从线程、应用程序和虚拟机使用的简单构建基块(队列、工作器和池)。这样可以实现10 Gbit线速数据包处理。

了解更多详细信息>>

PF_RING FT (Flow Table)

快速辅助流处理和L7协议检测

大多数网络监控和安全应用都基于流处理,包括数据包捕获、解码和分类。PF_RING™是一个灵活的框架,可用于加速数据包捕获,利用PF_RING™ZC驱动程序或专用适配器,并提取数据包元数据。这让应用程序专注于数据包处理,而不是处理数据包捕获和数据包解析,同时以最佳性能运行。

PF_RING™FT更进一步,它在数据包分类活动中协助任何流处理应用程序。PF_RING™FT实现了可用于跟踪流的流表,并提供了许多挂钩,以便能够自定义和扩展它,以便在其上构建任何类型的应用程序,包括探针、IDS、IPS、L7防火墙。

了解更多详细信息>>

nBroker

英特尔FM10000(RRC)上以100 Gbps的流量导向和过滤

要实现全面的网络可见性,需要结合各种实时活动监控工具。基本活动包括但不限于:

  • 有效地将流量从网络直接引导到监控工具;
  • 流量过滤,以执行选择性分析,从而减少CPU上的负载;
  • 流量阻塞,以在内联应用程序中实施策略。

nBroker是一个框架,可用于在英特尔FM10000 Red Rock(RRC)适配器上以100 Gbps的速度进行流量控制和过滤。FM10000适配器有一个内部交换机连接到NIC的外部端口(物理连接到缆线的端口)和链接到CPU的内部端口(主机OS所看到的端口)。

了解更多详细信息>>