我們所熟知的ntop是一種監控網絡流量工具,用ntop顯示網絡的使用情況比其他一些網絡管理軟體更加直覺、詳細。ntop甚至可以列出每個節點計算機的網絡帶寬使用率。同時ntop也是一家專注于軟體網絡監控解決方案10餘年的公司,ntop公司提供流量捕獲,流量記錄,網絡探針和流量分析等多種工具,這些工具既可以單獨使用也可以配合使用形成不同解決方案。虹科與ntop公司達成合作,國内獨家代理他們産品并提供相應的技術支援。PF_RING是一種新型的網絡套接字,可顯着提高資料包捕獲速度。
Vanilla PF_RING™
PF_RING通過Linux NAPI輪詢來自NIC的資料包。這意味着NAPI将資料包從NIC複制到PF_RING循環緩沖區,然後userland應用程式從環讀取資料包。在這種情況下,有兩個輪詢程式,即應用程式和NAPI,這會導緻用于此輪詢的CPU周期。優點是PF_RING可以将傳入的資料包同時分發到多個環(是以有多個應用程式)。
PF_RING子產品
PF_RING™具有子產品化架構,可以使用除标準PF_RING™核心子產品以外的其他元件。目前,其他子產品集包括:
-
ZC子產品
檢視ZC頁面以擷取更多資訊。
-
基于FPGA的闆卡子產品
這些子產品增加了對許多供應商的支援,包括Accolade,Exablaze,Napatech, Netcope…
-
堆棧子產品
該子產品可用于将資料包注入linux網絡堆棧。
-
時間軸子產品
該子產品可用于使用PF_RING™API從n2disk轉儲集中無縫提取流量。
-
Sysdig子產品
該子產品使用sysdig核心子產品捕獲系統事件。
虹科純軟體網絡監控解決方案(一)--高速資料包捕獲,過濾和分析工具PF_RING
PF_RING ZC(零複制)
PF_RING™ZC(零複制)是一種靈活的資料包處理架構,可讓您在任何資料包大小下實作1/10 Gbit的線速資料包處理(RX和TX)。它實作了零複制操作,包括用于程序間和VM間(KVM)通信的模式。它可以被視為DNA / LibZero的後繼産品,該産品基于過去幾年的經驗教訓提供了一個單獨且一緻的API。它具有幹淨靈活的API,可實作可從線程、應用程式和虛拟機使用的簡單建構基塊(隊列、工作器和池)。這樣可以實作10 Gbit線速資料包處理。
對于那些需要最大的資料包捕獲速度和0%CPU使用率以将資料包複制到主機的使用者(即,不使用NAPI輪詢機制),可以使用允許讀取資料包的ZC(又名新一代DNA)驅動程式通過以零拷貝方式同時繞過Linux核心和PF_RING子產品直接從網絡接口直接獲得。
注意:PF_RING ZC并非免費使用,必須購買相應的license
PF_RING FT(流表)
大多數網絡監控和安全應用都基于流處理,包括資料包捕獲、解碼和分類。PF_RING™是一個靈活的架構,可用于加速資料包捕獲,利用PF_RING™ZC驅動程式或專用擴充卡,并提取資料包中繼資料。這讓應用程式專注于資料包處理,而不是處理資料包捕獲和資料包解析,同時以最佳性能運作。
PF_RING™FT更進一步,它在資料包分類活動中協助任何流處理應用程式。PF_RING™FT實作了可用于跟蹤流的流表,并提供了許多挂鈎,以便能夠自定義和擴充它,以便在其上建構任何類型的應用程式,包括探針、IDS、IPS、L7防火牆。
PF_RING™FT經過高度優化,能夠在低端Xeon E3上使用單個CPU核心處理10 Gbit的線速,并在多核系統上擴充至100 Gbit。下表顯示了使用以下各項進行性能測試的結果: