数据包采集

PF_RING™

高速数据包捕获、过滤和分析

PF_RING™是一种新型的网络套接字,可显着提高数据包捕获速度,并且具有以下特性:

  1. 适用于Linux内核2.6.32及更高版本。
  2. 无需修补内核:只需加载内核模块。
  3. 使用商用网络适配器的10 Gbit硬件数据包过滤
  4. 用户空间ZC(新一代DNA,Direct NIC Access,直接NIC访问)驱动程序可实现极高的数据包捕获/传输速度,这是因为NIC NPU(网络处理单元)在没有任何内核干预的情况下将数据包从用户域推送/获取数据包。使用10Gbit ZC驱动程序,您可以以线速发送或接收任何大小的数据包。
  5.  PF_RING ZC库,用于在线程、应用程序、虚拟机之间以零拷贝分发数据包。
  6. 设备驱动程序独立。
  7.  支持Accolade,Exablaze,Endace,Fiberblaze,Inveatech,Mellanox,Myricom / CSPI,Napatech,Netcope和Intel(ZC)网络适配器。
  8. 基于内核的数据包捕获和采样。
  9. Libpcap支持(请参见下文)可与现有的基于pcap的应用程序无缝集成。
  10. 除BPF外,还可以指定数百个标题过滤器。
  11. 内容检查,以便仅通过与有效负载过滤器匹配的数据包。
  12. PF_RING™插件,用于高级数据包解析和内容过滤。

了解更多详细信息>>

PF_RING ZC (Zero Copy)

来自主机和虚拟机的多10 Gbit RX / TX数据包处理

PF_RING™ZC(零复制)是一种灵活的数据包处理框架,可让您在任何数据包大小下实现1/10 Gbit的线速数据包处理(RX和TX)。它实现了零复制操作,包括用于进程间和VM间(KVM)通信的模式。它可以被视为DNA / LibZero的后继产品,该产品基于过去几年的经验教训提供了一个单独且一致的API。

它具有干净灵活的API,可实现可从线程、应用程序和虚拟机使用的简单构建基块(队列、工作器和池)。这样可以实现10 Gbit线速数据包处理。

了解更多详细信息>>

PF_RING FT (Flow Table)

快速辅助流处理和L7协议检测

大多数网络监控和安全应用都基于流处理,包括数据包捕获、解码和分类。PF_RING™是一个灵活的框架,可用于加速数据包捕获,利用PF_RING™ZC驱动程序或专用适配器,并提取数据包元数据。这让应用程序专注于数据包处理,而不是处理数据包捕获和数据包解析,同时以最佳性能运行。

PF_RING™FT更进一步,它在数据包分类活动中协助任何流处理应用程序。PF_RING™FT实现了可用于跟踪流的流表,并提供了许多挂钩,以便能够自定义和扩展它,以便在其上构建任何类型的应用程序,包括探针、IDS、IPS、L7防火墙。

了解更多详细信息>>

nTap

针对主机/云/容器/虚拟机的虚拟网络分路器

nTap是一个虚拟的软件分路器,可用于物理/虚拟/云环境,以远程捕获流量(相对于监测地点而言),并以安全的方式将数据包传送到监测点。当基于流量的分析工具(如nProbe/nProbe Cento)不适合时,就需要进行数据包捕获,因为需要进行数据包级分析。物理分路器和nTap之间的主要区别包括:

  • nTap能够远程传送监测到的流量(物理分路器需要直接电缆连接,以强制监控生成流量的位置)。
  • nTap通过端到端加密方式传送数据包,防止入侵者观看监控的流量。
  • nTap可以在监控的流量上应用数据包过滤(物理分路器无法做到这一点:更昂贵的数据包代理NPB提供这个功能)。
  • nTap可以用于容器和虚拟机以及高动态环境,如Kubernetes(物理分路器只能用于物理网络)

了解更多详细信息>>