写点什么

网络攻防学习笔记 Day123

发布于: 3 小时前
网络攻防学习笔记 Day123

流量镜像(SPAN)也叫端口镜像,一般是指在交换机上将一个或多个源端口(或 VLAN)的数据流量转发到某一个指定端口,目的是方便对一个或多个网络接口的流量进行监听和分析(通过 IDS 产品、网络分析仪等)。


libpcap 是 UNIX/Linux 系统下最流行的抓包 C 库。libpcap 提供了链路层数据包抓取、链路层数据包发送、包过滤规则。


scapy 不仅仅是一个抓包库,同时也提供了发送、构造、解码、协议解析的能力。scapy 官方网站为https://scapy.net


抓包性能提升的关键首先是网卡,高性能的网卡拥有更高的吞吐率和包延时。物理器件的情况也会影响抓包效率,特别是从分光器出来的流量,光衰的存在导致抓包率有所降低。


再往上层,高速的抓包驱动和缩短抓包流程也能提高效率。除了 Python、Go 语言上的性能情况,libpcap 抓包流程漫长也是其抓包效率低下的原因。libpcap 通过系统调用同内核通信,效率低下。在此背景下就有了 PF_RING 和 DPDK 技术


DPDK 在原理上用到 UIO、大页内存、NUMA 等技术。在驱动上使用轮询模式替代中断模式,使用 CPU 资源来换取高速抓包。DPDK 的不足之处是开发难度较大,SDK 也是用 C 语言调用,需要对 CPU 体系结构有较深的了解


libndis 是基于 libpcap 抓包的一个网络入侵检测系统 C 库。其支持 TCP 流还原,大致调用流程类似于 libpcap,自带例子里有多种使用场景。


packetbeat 是 Elastic 公司 ELK Stack 里的重要组成成员,是 Beats 系列[1]软件中的抓包软件。使用此开源软件配合 ELK 可以快速实现 Web 流量可视化,同时 packetbeat 也更适用于云环境无法对流量进行镜像的情况


编写模拟程序,周期性地以固定频率请求某特定网站,加入特殊标记,例如自定义特殊 UserAgent;在抓包之后统计抓到的数量,进行抽样,就得到了整体的丢包(流)率


发布于: 3 小时前阅读数: 6
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day123