megahertz0 Опубликовано 21 июня · Жалоба Привет! Возникла тут задача захвата трафика с 10G интерфейсов + немного capture filter чтобы на винт писать только то, что нужно. Реально ли такие объемы захватывать через tcpdump на линуксовом тазике с X520 и каким-нибудь не сильно древним ксеоном типа E56xx? Просто очень смущает возможность дропов и, соответственно, кривости дампа трафика. А готовой альтернативы tcpdump я не нашел. Все или в виде proof of concept или давно заброшено. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Ivan_83 Опубликовано 21 июня · Жалоба netmap, DPDK, PF_RING тебе в помощь. Насчёт tcpdump - наверное, но фильтры нужно скармливать ему и объёмы на выходе из ядра должны быть не слишком большими. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
Tosha Опубликовано 21 июня · Жалоба Имхо tcpdump не вариант. Только для кратковременных тестов и отладки. "Яровую" делать собираетесь? Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NewUse Опубликовано 21 июня · Жалоба имхо, филььровать отдельно, точнее зеркалировать нужное на железе, а дальше писать всё подряд... чем-то сильно низкоуровннвым, да и то, не очень представляю, как это сделать и диски какие нужны, чтоб писать на такой скоррсти... https://kukuruku.co/post/capturing-packets-in-linux-at-a-speed-of-millions-of-packets-per-second-without-using-third-party-libraries/ Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
megahertz0 Опубликовано 21 июня · Жалоба 2 часа назад, Tosha сказал: "Яровую" делать собираетесь? К счастью пока нет. Решаем тут задачу организации СОРМа нижестоящего провайдера. Надо на этапе реализации заглядывать в трафик, летящий в съемник с целью узнать все ли до него доходит. 2 часа назад, NewUse сказал: имхо, филььровать отдельно, точнее зеркалировать нужное на железе, а дальше писать всё подряд... чем-то сильно низкоуровннвым, да и то, не очень представляю, как это сделать и диски какие нужны, чтоб писать на такой скоррсти... Реально трафика в десятке не в потолок же. Там от силы гигов 6-7. И из этого потока мне, к примеру, нужно выдернуть radius и сохранить на винт чтобы вайршарком посмотреть что там. Так что писать не так уж и много, обычный ssd справится. Железом можно фильтровать конечно. Но там не так уж и много возможностей. Тем более фильтры на том же 6500 работают для span на ingress. А мне трафик уже приходит, так что вариант фильтровать только на зонде, который захватывает трафик. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
NewUse Опубликовано 21 июня · Жалоба ну если радиус Ваш, то проще через radius-proxy или фаерволом на худой конец что-то фильтровать.... ну с радиусом скорее всего и tcpdump справится... тоже в тему, но всё ручками: https://jvns.ca/blog/2017/04/07/xdp-bpf-tutorial/ Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
pavel.odintsov Опубликовано 23 июня · Жалоба Могу рекомендовать свою же статью https://habr.com/post/261161/ :) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
sdy_moscow Опубликовано 23 июня · Жалоба 10 часов назад, pavel.odintsov сказал: Могу рекомендовать свою же статью https://habr.com/post/261161/ :) Спасибо, с интересом прочитал. Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
pavel.odintsov Опубликовано 24 июня · Жалоба Рад что пригодилось :) Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах
.png.ab91e50800b6e33188f8e588605101a4.png)