数据包采集
PF_RING™
高速数据包捕获、过滤和分析
PF_RING™是一种新型的网络套接字,可显着提高数据包捕获速度,并且具有以下特性:
- 适用于Linux内核2.6.32及更高版本。
- 无需修补内核:只需加载内核模块。
- 使用商用网络适配器的10 Gbit硬件数据包过滤
用户空间ZC(新一代DNA,Direct NIC Access,直接NIC访问)驱动程序可实现极高的数据包捕获/传输速度,这是因为NIC NPU(网络处理单元)在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10Gbit ZC驱动程序,您可以以线速发送或接收任何大小的数据包。- PF_RING ZC库,用于在线程、应用程序、虚拟机之间以零拷贝分发数据包。
- 设备驱动程序独立。
- 支持Accolade,Exablaze,Endace,Fiberblaze,Inveatech,Mellanox,Myricom / CSPI,Napatech,Netcope和Intel(ZC)网络适配器。
- 基于内核的数据包捕获和采样。
- Libpcap支持(请参见下文)可与现有的基于pcap的应用程序无缝集成。
- 除BPF外,还可以指定数百个标题过滤器。
- 内容检查,以便仅通过与有效负载过滤器匹配的数据包。
- PF_RING™插件,用于高级数据包解析和内容过滤。
PF_RING ZC (Zero Copy)
来自主机和虚拟机的多10 Gbit RX / TX数据包处理
PF_RING™ZC(零复制)是一种灵活的数据包处理框架,可让您在任何数据包大小下实现1/10 Gbit的线速数据包处理(RX和TX)。它实现了零复制操作,包括用于进程间和VM间(KVM)通信的模式。它可以被视为DNA / LibZero的后继产品,该产品基于过去几年的经验教训提供了一个单独且一致的API。
它具有干净灵活的API,可实现可从线程、应用程序和虚拟机使用的简单构建基块(队列、工作器和池)。这样可以实现10 Gbit线速数据包处理。
PF_RING FT (Flow Table)
快速辅助流处理和L7协议检测
大多数网络监控和安全应用都基于流处理,包括数据包捕获、解码和分类。PF_RING™是一个灵活的框架,可用于加速数据包捕获,利用PF_RING™ZC驱动程序或专用适配器,并提取数据包元数据。这让应用程序专注于数据包处理,而不是处理数据包捕获和数据包解析,同时以最佳性能运行。
PF_RING™FT更进一步,它在数据包分类活动中协助任何流处理应用程序。PF_RING™FT实现了可用于跟踪流的流表,并提供了许多挂钩,以便能够自定义和扩展它,以便在其上构建任何类型的应用程序,包括探针、IDS、IPS、L7防火墙。
nTap
针对主机/云/容器/虚拟机的虚拟网络分路器
nTap是一个虚拟的软件分路器,可用于物理/虚拟/云环境,以远程捕获流量(相对于监测地点而言),并以安全的方式将数据包传送到监测点。当基于流量的分析工具(如nProbe/nProbe Cento)不适合时,就需要进行数据包捕获,因为需要进行数据包级分析。物理分路器和nTap之间的主要区别包括:
