简介zeekZeek是一个开源网络流量分析器。许多用户将Zeek用作网络安全监视器(NSM),以支持对可疑或恶意活动的调查。Zeek还支持安全领域以外的各种流量分析任务,包括性能评估和故障排除。
原创
2021-07-09 17:23:27
953阅读
文章目录[隐藏]集群架构:构建思路:部署步骤:
一、准备阶段:二、部署阶段:集群架构: 构建思路:本监控系统由一个zabbix master和两个zabbix proxy组成,各自位于不同的网段,且有独立的MySQL服务器;其中192.168.1.0网段作为三个路由互联的网段,10.0.0.0网段为zabbix master所处的网段,172.16.0.0和172.26.0.0网段为za
转载
2024-03-08 19:49:56
62阅读
问题场景我们使用suricata来做流量分析,suricata部署在一台多网卡的48核心的物理机上,由于业务需要,suricata监听流量的网卡从5块提升为了6块,新加了网卡enp176s0f1,然后发现suricata的日志中有多条类似报错:<Error>-[ERRCODE:SC_ERR_PF_RING_OPEN(34)]-Failedtoopenenp176s0f1:pfring_
原创
2020-05-26 15:38:01
6552阅读
1评论
首先以libpcap为主线,先通过pcap_open_live函数,做一些初始化的操作,比如打开网卡,设置好读取数据包的回调
在应用空间采用mmap进行内存映射时,内核调用的是ring_mmap函数;例如:我们在前面讲解时,讲解了pfring_o
# ./configure 遇到ERROR: checking for pfring_open in -lpcap... no ERROR! Libpcap library/headers (libpcap.a (or .so)/pcap.h) not found, go get it from h
转载
2016-03-10 11:32:00
91阅读
2评论
Socket的创建函数,在PF_RING,创建sokcet的函数为ring_create,当pfring.c中通过sokcet函数建立socket
本文以应用程序的api调用为主线,分析libpcap和pfring源码,当然还有内核PF_RING的源码在以后也会分析,以后可能我会分
Socket的创建函数,在PF_RING,创建sokcet的函数为ring_create,当pfring.c中通过sokcet函数建立socket时,内核调用的ring_create函数,ring_create源码如下:staticint ring_create(
#if(LINUX_VERSION_CODE>= KERNEL_VERSION(2,6,24))
struct net *ne
我运行一个使用PF_RING+DNA进行捕包的程序,结果在程序运行结束后,我发现我退出不了DNA模式了!以前都是进入驱动PF_RING-aware中安装对应驱动就可以了,但是这里一直显示pfring in use 和ixgbe.ko in use ,那么,我该怎么办呢?前段时间总是重启了事,但是今天试着解决之下竟然真的解决了!用top查看发现一个我的程序占用了98%以上的CPU,正在运行。。。用k
原创
2015-12-08 22:11:00
384阅读
一、VPP技术大多通用操作系统的网络协议栈一直都在内核中实现。其实网络协议栈只是一个应用,而不是操作系统的范畴,没有人规定网络协议栈一定是要早内核实现的。这些操作系统的开发者们将一切和具体业务无关的东西都塞进了操作系统内核。于是出现了pfring/netmap/dpdk等机制,做法是by pass掉内核协议栈,虽然方便,但是性能很差。所以,通用操作系统参考通信行业将数据面、控制面、管理面分离的做法
转载
2024-10-24 18:09:29
81阅读
