基于Linux的千兆网络数据包捕捉技术的研究与实现

摘要

被动数据捕捉技术在网络安全领域有着极其丰富的应用，如IDS(入侵检测系统)、防火墙等，tcpdump，ethereal，snort等软件都采用此项技术。随着诸多应用层服务，如VoIP、P2P等的投入应用，使得网络的承载能力大为紧张。由于CPU性能、操作系统的处理机制等原因，传统的捕包方式已经不能适应千兆网络的要求，尤其在网络流量比较大时，系统将出现大量丢包现象，形成了系统级瓶颈。 NAPI，device polling，零拷贝等技术被提出来解决这一问题，零拷贝技术已经被成熟的应用于路由器<'[20]>、防火墙等硬件的设计中，它可以通过修改网卡驱动程序使应用程序直接访问网卡在内核中的内存。Luca Deri<'[1]>在零拷贝的基础上提出了一种新的解决方案：PF＿RING机制。 PF＿RING机制则不必修改网卡驱动。在内核中，它以一种带缓存的协议簇PF＿RING为依托，结合NAPI技术，改善网卡中断响应频率；在用户空间，应用程序可以通过mmap手段，将网络数据包直接传送给应用层的用户程序。PF＿RING是一种面向普通PC普通网卡的、接口丰富的、性能表现优异的软件解决方案。 我们在PF＿RING机制的基础上做了如下工作： 1．分析了PF＿RING的原理和实现过程，在此基础上以内核模块的形式实现了PF＿RING。逻辑上这部分又分为模块的加载与卸载、注册PF＿RING协议簇、初始化环状缓存、向缓存中添加skb等几步。 2．分析了PF＿RING关于libpcap的接口并通过两层封装实现了这一过程。使用snort等软件对PF＿RING做了测试，并在测试结果的基础上做了对比分析。 3．在高端嵌入式实验平台上(PowerPC 8540)实现了PF＿RING机制，为进一步研究高速网络下的防火墙和入侵检测系统做好了准备。

目录

原创性声明及关于论文使用授权的说明

摘 要

第1章绪论

1.1课题提出的背景和意义

1.2工作环境和实验平台

1.3研究内容

1.4论文的组织结构

第2章Linux内核机制简介

2.1内核网络结构

2.2 Linux内核模块机制

2.2.1内核模块的编写和编译

2.2.2内核模块与进程的关系

2.3网卡驱动程序简介

2.4 Linux内核其他常规操作

第3章被动数据捕捉技术

3.1数据包捕捉技术的理论基础

3.1.1网卡混杂模式(Promiscuous Mode)

3.1.2 BPF捕获机制和socket套接口编程

3.2 Libpcap简介

3.3存在的问题

第4章PF_RING的实现

4.1 PF_RING原理介绍

4.2模块的加载与卸载

4.3注册PF_RING协议簇

4.4 PF_RING协议簇的使用

4.5将skb插入到环状缓存

4.6 proc的实现

4.7 PF_RING的libpcap接口

4.8利用PF_RING捕捉数据包

4.9 PF_RING与RTIRQ

第5章将PF_RING应用到嵌入式开发平台

5.1嵌入式平台的基本参数

5.2测试

第6章测试数据分析及后续工作

6.1测试结果

6.2 PF_RING、PF_PACKET、零拷贝比较及后续工作

参考资料

致谢