网络攻防学习笔记 Day123

流量镜像（SPAN）也叫端口镜像，一般是指在交换机上将一个或多个源端口（或 VLAN）的数据流量转发到某一个指定端口，目的是方便对一个或多个网络接口的流量进行监听和分析（通过 IDS 产品、网络分析仪等）。

libpcap 是 UNIX/Linux 系统下最流行的抓包 C 库。libpcap 提供了链路层数据包抓取、链路层数据包发送、包过滤规则。

scapy 不仅仅是一个抓包库，同时也提供了发送、构造、解码、协议解析的能力。scapy 官方网站为https://scapy.net。

抓包性能提升的关键首先是网卡，高性能的网卡拥有更高的吞吐率和包延时。物理器件的情况也会影响抓包效率，特别是从分光器出来的流量，光衰的存在导致抓包率有所降低。

再往上层，高速的抓包驱动和缩短抓包流程也能提高效率。除了 Python、Go 语言上的性能情况，libpcap 抓包流程漫长也是其抓包效率低下的原因。libpcap 通过系统调用同内核通信，效率低下。在此背景下就有了 PF_RING 和 DPDK 技术。

DPDK 在原理上用到 UIO、大页内存、NUMA 等技术。在驱动上使用轮询模式替代中断模式，使用 CPU 资源来换取高速抓包。DPDK 的不足之处是开发难度较大，SDK 也是用 C 语言调用，需要对 CPU 体系结构有较深的了解。

libndis 是基于 libpcap 抓包的一个网络入侵检测系统 C 库。其支持 TCP 流还原，大致调用流程类似于 libpcap，自带例子里有多种使用场景。

packetbeat 是 Elastic 公司 ELK Stack 里的重要组成成员，是 Beats 系列[1]软件中的抓包软件。使用此开源软件配合 ELK 可以快速实现 Web 流量可视化，同时 packetbeat 也更适用于云环境无法对流量进行镜像的情况。

编写模拟程序，周期性地以固定频率请求某特定网站，加入特殊标记，例如自定义特殊 UserAgent；在抓包之后统计抓到的数量，进行抽样，就得到了整体的丢包（流）率。