Como lo conocemos, ntop es una herramienta para monitorear el tráfico de la red. Usar ntop para mostrar el uso de la red es más intuitivo y detallado que otro software de administración de red. ntop puede incluso enumerar la utilización del ancho de banda de la red de cada computadora nodo. Al mismo tiempo, ntop también es una empresa que se ha enfocado en soluciones de monitoreo de redes de software durante más de 10 años. Ntop proporciona una variedad de herramientas como captura de tráfico, registro de tráfico, sondas de red y análisis de tráfico. Estas herramientas se pueden usar solas o en conjunto para formar diferentes soluciones. . Hongke y ntop han llegado a una cooperación, el agente exclusivo de sus productos y brindan el soporte técnico correspondiente en China. PF_RING es un nuevo tipo de conector de red que puede aumentar significativamente la velocidad de captura de paquetes.
Vainilla PF_RING ™
PF_RING sondea los paquetes de datos de la NIC a través de Linux NAPI. Esto significa que NAPI copia el paquete de la NIC al búfer circular PF_RING, y luego la aplicación de usuario lee el paquete del anillo. En este caso, hay dos programas de sondeo, a saber, la aplicación y NAPI, lo que da como resultado ciclos de CPU para este sondeo. La ventaja es que PF_RING puede distribuir paquetes de datos entrantes a varios anillos al mismo tiempo (por lo que hay varias aplicaciones).
Módulo PF_RING
PF_RING ™ tiene una arquitectura modular y puede utilizar componentes distintos al módulo central estándar PF_RING ™. Actualmente, otros conjuntos de módulos incluyen:
- Módulo ZC
Consulte la página ZC para obtener más información. - Módulos de placa basados en FPGA
Estos módulos aumentan el soporte para muchos proveedores, incluidos Accolade, Exablaze, Napatech, Netcope ... - Módulo de pila
Este módulo se puede utilizar para inyectar paquetes de datos en la pila de red de Linux. - Módulo de eje de tiempo
Este módulo se puede utilizar para extraer sin problemas el tráfico del conjunto de volcado de n2disk utilizando la API PF_RING ™. - Módulo sysdig
Este módulo utiliza el módulo del kernel sysdig para capturar eventos del sistema.
PF_RING ZC (copia cero)
PF_RING ™ ZC (Copia cero) es un marco de procesamiento de paquetes flexible que le permite lograr un procesamiento de paquetes a velocidad de cable de 1/10 Gbit (RX y TX) en cualquier tamaño de paquete. Implementa operaciones de copia cero, incluidos los modos de comunicación entre procesos y entre máquinas virtuales (KVM). Puede considerarse el sucesor de DNA / LibZero, que proporciona una API única y coherente basada en las lecciones aprendidas en los últimos años. Tiene una API limpia y flexible que implementa bloques de construcción simples (colas, trabajadores y grupos) que se pueden usar desde subprocesos, aplicaciones y máquinas virtuales . Esto puede realizar el procesamiento de paquetes de datos a velocidad de cable de 10 Gbit.
Para aquellos usuarios que necesitan la velocidad máxima de captura de paquetes y el 0% de utilización de la CPU para copiar los paquetes al host (es decir, no usan el mecanismo de sondeo NAPI) , pueden usar ZC (también conocido como la nueva generación de DNA ) El controlador se obtiene directamente de la interfaz de red sin pasar por el kernel de Linux y el módulo PF_RING al mismo tiempo y sin copia.
Nota: PF_RING ZC no es de uso gratuito, debe comprar la licencia correspondiente
PF_RING FT (tabla de flujo)
La mayoría de las aplicaciones de seguridad y monitoreo de red se basan en el procesamiento de flujos, incluida la captura, decodificación y clasificación de paquetes. PF_RING ™ es un marco flexible que se puede utilizar para acelerar la captura de paquetes, utilizando el controlador PF_RING ™ ZC o un adaptador dedicado, y extraer metadatos de paquetes. Esto permite que la aplicación se concentre en el procesamiento de paquetes en lugar de procesar la captura y el análisis de paquetes, mientras se ejecuta al máximo rendimiento.
PF_RING ™ FT va un paso más allá, ayuda a cualquier aplicación de procesamiento de flujo en las actividades de clasificación de paquetes. PF_RING ™ FT implementa una tabla de flujo que puede usarse para rastrear flujos y proporciona muchos ganchos para que pueda personalizarse y extenderse para construir cualquier tipo de aplicación en ella, incluidas sondas, IDS, IPS, firewalls L7.
PF_RING ™ FT está altamente optimizado y puede usar un solo núcleo de CPU para procesar una velocidad de línea de 10 Gbit en Xeon E3 de gama baja y expandirse a 100 Gbit en sistemas de múltiples núcleos. La siguiente tabla muestra los resultados de las pruebas de rendimiento utilizando los siguientes elementos:
Quién necesita PF_RING
Básicamente, todos deben procesar muchos paquetes por segundo. Los "muchos" aquí varían según el hardware que utilice para el análisis de tráfico. Puede variar desde 80k pkt / seg en 1.2GHz ARM hasta 14M pkt / seg en 2.5GHz Xeon de gama baja, e incluso más. PF_RING ™ no solo le permite capturar paquetes más rápido, sino también capturar paquetes de manera más eficiente, ahorrando así ciclos de CPU. Aquí hay algunos datos, puede ver qué tan rápido puede funcionar nProbe (sonda NetFlow v5 / v9) con PF_RING ™, o consulte la tabla a continuación.
Prueba de 1Gbit usando Core2Duo 1.86 GHz, Ubuntu Server 9.10 (kernel 2.6.31-14) y generador de tráfico IXIA 400 con velocidad de línea (paquetes de 64 bytes, 1.48 Mpps) inyectando tráfico: