Jump to content

Pcap и потеря пакетов

shafiev
 Share

Recommended Posts

shafiev

shafiev

Posted
Posted

Встала задача написания l7 сниффера для аналитики и QOS траффика.

Используемая библиотека будет pcap(альтернативу я покамесь не вижу)

Поток который будет анализироваться примерно 350 мбит/сек и 4000 флоу в сек.

 

1.Не могу лишь понять - насколько существенна проблема потери pcap-ом пакетов при нагрузке?

2.Если она есть - то в чем ее фундаментальная причина?

3.Если есть альтернатива pcap?

XeonVs

XeonVs

Posted
Posted (edited)

Можно посмотреть как написан whireshark, кушать процессор любит при обработке.

Формально тормозить будет уже за счет копирования пакета из ядра в юзерспейс.

Можно посмотреть на netghaph в freebsd, будет достаточно производительно. Еще там-же можно посмотреть на фреймворк Khelp ERTT модуль.

Под линуксы посмотреть модули от iptables.

Edited by XeonVs
orlik

orlik

Posted
Posted

Встала задача написания l7 сниффера для аналитики и QOS траффика.

Используемая библиотека будет pcap(альтернативу я покамесь не вижу)

Поток который будет анализироваться примерно 350 мбит/сек и 4000 флоу в сек.

 

1.Не могу лишь понять - насколько существенна проблема потери pcap-ом пакетов при нагрузке?

2.Если она есть - то в чем ее фундаментальная причина?

3.Если есть альтернатива pcap?

 

http://www.ntop.org/PF_RING.html

shafiev

shafiev

Posted
  • Author
Posted

Пропуск пакетов в pcap - это не баг, это его фича.

:) eto ne Perl

 

Встала задача написания l7 сниффера для аналитики и QOS траффика.

Используемая библиотека будет pcap(альтернативу я покамесь не вижу)

Поток который будет анализироваться примерно 350 мбит/сек и 4000 флоу в сек.

 

1.Не могу лишь понять - насколько существенна проблема потери pcap-ом пакетов при нагрузке?

2.Если она есть - то в чем ее фундаментальная причина?

3.Если есть альтернатива pcap?

П

 

http://www.ntop.org/PF_RING.html

 

Примеры использования можешь подсказать?

shafiev

shafiev

Posted
  • Author
Posted

Можно посмотреть как написан whireshark, кушать процессор любит при обработке.

Формально тормозить будет уже за счет копирования пакета из ядра в юзерспейс.

Можно посмотреть на netghaph в freebsd, будет достаточно производительно. Еще там-же можно посмотреть на фреймворк Khelp ERTT модуль.

Под линуксы посмотреть модули от iptables.

 

С ядренным делами просто не хочеться заморачиваться в виду немного большей сложностм и написания и портабельности .

Вайршарк так же на pcap базируеться.

Ищу также примеры для понимания всего этого

orlik

orlik

Posted
Posted

Пропуск пакетов в pcap - это не баг, это его фича.

:) eto ne Perl

 

Встала задача написания l7 сниффера для аналитики и QOS траффика.

Используемая библиотека будет pcap(альтернативу я покамесь не вижу)

Поток который будет анализироваться примерно 350 мбит/сек и 4000 флоу в сек.

 

1.Не могу лишь понять - насколько существенна проблема потери pcap-ом пакетов при нагрузке?

2.Если она есть - то в чем ее фундаментальная причина?

3.Если есть альтернатива pcap?

П

 

http://www.ntop.org/PF_RING.html

 

Примеры использования можешь подсказать?

 

какие примеры, это тотже pcap только частично вынесеный в ядро, и если нужна высокая производительность , то подругому не получится

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.