PF_RING调研及实践

一 PF_RING简介

1.与libpcap不同，pf_ring核心思想是通过DMA将网卡流量直接MMAP到用户空间（绕过内核网络协议栈），避免libpcap的网卡->内核，内核→用户空间的方式，压缩拷贝次数，节省了CPU处理时间；

2.pf_ring每创建一个socket便分配一个环形缓冲区（ring_buffer），用户可以通过mmap直接访问ring_buffer，新数据从网卡抓取时可以直接覆盖ring_buffer已被用户读取的空间，如果ring_buffer已满，新数据被丢弃；

3.pf_ring自带的libpcap可与原libpcap应用程序无缝集成，只需增加相关宏定义；

4.使用pf_ring零拷贝功能，需要卸载原机器网卡驱动，并编译安装与原机器型号匹配的pf_ring支持的网卡驱动。

二 PF_RING编译安装及部署

1.pf_ring源码：

2.pf_ring编译安装顺序：

卸载网卡驱动=》编译安装内核=》编译安装库=》编译安装libpcap=》编译安装网卡驱动=》编译安装dap（可选）=》重启机器

3.网卡驱动卸载：

ethtool -i ens192 #ens192使用ifconfig命令查看网卡名称

显示如下：

driver: igb

version: 3.2.6-k

firmware-version: 1.10-0

...

驱动名是igb

使用命令确认驱动存在：

lsmod | grep igb

使用命令卸载驱动：

rmmod igb #执行此步 会导致xshell断开，可以使用串口通信查询目标机器

4.内核编译安装：

#解压压缩包并进入

cd PF_RING-7.8.0/kernel

./configure && make && make install

#也可以直接执行make install 因为解压包时编译好的内核

#安装内核3

insmod pf_ring.ko transparent_mode=1 #安装内核

cat /proc/net/pf_ring/info  # 验证内核是否支持pf_ring

显示如下：

5.userland库编译及安装（包括libpf_ring.so等）：

cd PF_RING-7.8.0/userland/lib

./configure && make && make install

#也可以直接执行make install 因为解压包时编译好的库

6.libpcap库编译及安装（需要卸载原系统自带的libpcap）：

#卸载原系统libpcap

rpm -qa libpcap #卸载libpcap包，执行该命令后，系统的/usr/lib64/libpcap.so*会被删除

rpm -e libpcap --nodeps #--nodeps不验证依赖包 -e直接卸载

#安装pf_ring自带libpcap

cd PF_RING-7.8.0/userland/libpcap #libpcap是1.9.1版本和libpcap_1.9.1一样，哪个目录都行

./configure && make && make install

#也可以直接执行make install 因为解压包时编译好的库

安装成功，显示如下：

7.编译及安装网卡驱动（在实体机验证通过 虚拟机卸载网卡驱动后在编译安装，重启后出现虚拟机启动不了情况）：

cd PF_RING-7.8.0/drivers #这个目录有Makefile

make #如果报pf_ring.h找不到，转下面步骤：

vim /etc/profile

#添加：

C_INCLUDE_PATH=/usr/include/linux #pf_ring.h在此目录里

CPLUS_INCLUDE_PATH=/usr/include/linux

export C_INCLUDE_PATH

export CPLUS_INCLUDE_PATH

#保存退出，执行:

source /etc/profile

cd intel

#选择与原网卡驱动一致的目录，比如igb目录，执行：

cd igb/igb-5.3.18-zc/src

modprobe ptp #此步在insmod之前执行 是igb.ko依赖步骤

insmod igb.ko

modprobe igb

reboot #必须重启机器生效

#注意，压缩包时编译好的驱动，因此可跳过make直接进行安装

8.验证pf_ring库安装成功：

cd PF_RING-7.8.0/userland/examples

./configure && make && make install #这步也可以不做 因为压缩包里是编译好的二进制文件

./pfcount -i eth2

执行功，显示如下：

8.pfring-daq-module安装（可选）：

cd PF_RING/userland/snort/pfring-daq-module

autoreconf -ivf

./configure

make

cp .libs/daq_pfring.so /usr/local/lib/daq/

三 使用PF_RING测试snort

1.编译安装snort

2.执行指令：

snort --daq-dir=/usr/local/lib/daq --daq pfring --daq-mode passive -i ens192 -v -e

显示：

由上图可看成snort已加载了pfring驱动。

四 抓包引擎支持PF_RING

1.确保编译环境已卸载系统自带的libpcap并且已安装pf_ring的libpcap

2.修改.cpp，增加宏定义：

#ifndef HAVE_PF_RING

#define HAVE_PF_RING

#endif

修改makefile，增加:

RUNLIB = ... -lpfring

...

CFLAG = -DHAVE_PF_RING

3.编译