摘　要： 提出一種針對高速光網絡環境的數據包捕獲平臺的設計方案。采用軟硬件結合" title="軟硬件結合">軟硬件結合的設計思想，由系統硬件完成數據包的解析和過濾，軟件根據硬件解析結果將數據直接向應用進程分發。驅動部分借鑒了零拷貝和循環緩沖區技術，并進行了中斷優化以降低數據采集的CPU占用率。
　　關鍵詞： 軟硬件結合 規則? 包捕獲? 64位PCI? OC48接口

?

　　隨著網絡的普及,安全問題正威脅著每個網絡用戶。因此對計算機的網絡監控十分必要,而其中對網絡數據包的捕獲和分析尤為重要。隨著網絡帶寬不斷增加,監控高速網絡數據流的需求越來越明顯,各種數據包捕獲技術在大規模寬帶網絡的入侵檢測系統^[1]、大流量網絡數據情況下的網絡協議分析、寬帶網絡防火墻和高性能路由器等領域中,都具有廣泛的應用前景。
1 傳統方案
　　傳統的數據包捕獲方案一般是基于普通的網卡,通過應用程序和支持庫把網卡設置成混雜模式^[2],從而繞開網卡通常的工作程序,使之能夠接受目標地址而不是自己MAC地址的數據包,再經過過濾、解析實現監控。
　　目前實現包捕獲功能的軟件有很多。支持Linux操作系統的Libpcap^[3]庫就是基于BPF模型一個典型數據包捕獲平臺。Libpcap 實質上是一個系統獨立的 API 函數接口,用于用戶層次的數據包截獲工作。它為底層網絡監控編程提供了易于移植的應用框架。利用Libpcap庫開發的網絡監控的工具如Tcpdump^[3]等,大多有效地利用了庫中的接口實現了按需捕獲功能。但是總體上來看,這些工具由于設計上的限制,即使工作在非常強大的硬件平臺上,在面對現代高速網絡時也越來越難以應付,特別是在快于千兆的光網絡環境中,常常因為來不及處理導致丟包相當嚴重。
2 改進方案概述
　　這是一種采用軟硬件結合的高速數據包捕獲實現方案。為了能適用于高速光網絡環境,硬件部分完成了對實時性要求高的數據包的預處理工作,軟件部分在后期能夠對數據包進行再次的深度處理。整個系統硬件的關鍵在包解析處理模塊" title="處理模塊">處理模塊和規則管理模塊。包解析處理模塊實現了數據包的預處理;規則管理模塊則用于規則存儲和查找,包解析處理模塊對數據包的過濾有賴于查找的結果?；谟布渲玫撵`活性,可以在前期就將未匹配成功、校驗出錯、太短或太長等不符合要求的數據包丟棄,后期處理階段可以專注于對有處理需求的數據包進行解析,極大地提高了整個系統的性能。另外,由于目前大部分寬帶IP網的地市級出口基本上都是由2.5Gbps POS(Packet Over SONET)鏈路組成,每個設備采用了兩路2.5Gbps OC48 POS接口作為數據輸入;而輸出端采用了64 bit 66MHz的PCI總線設計,從而在主機一側保證帶寬。為了適應更高的采樣需求,驅動在設計上支持多設備協同工作。
　　系統軟件部分基于Linux操作系統平臺,由驅動程序和自定義的庫函數組成。驅動程序實現了系統各芯片的初始化,響應上層對規則和硬件配置的要求和維護數據緩沖區等功能。庫函數介于應用程序與驅動程序之間,起到一個橋梁中介作用,主要向上層提供類似Libpcap的API,從而把復雜的處理函數封裝起來,給用戶一個簡潔通用的接口。
　　考慮到傳統方案主要在網卡中斷、內存操作、用戶態和內核態間的拷貝等方面存在瓶頸,軟件中做了幾項改進:(1)改進了中斷方式,以數據塊" title="數據塊">數據塊而不是以單個數據包觸發中斷,減少了中斷的頻率;(2)借鑒零拷貝的思想,避免了不必要的內存拷貝;(3)利用循環緩沖區(ring buffer)存儲用戶數據, 提高了內存利用率。
3 系統設計及實現
3.1 系統硬件實現
　　系統利用硬件代替Linux內核實現了數據包的差錯校驗和協議棧的初步解析。一定格式的過濾規則按照優先級存儲于規則管理模塊中,規則管理模塊將包解析模塊從數據包的一些控制字段中抽取出關鍵字同預設的所有規則進行比較,選出優先級最高的匹配規則,匹配的結果反饋給包處理模塊,而沒有匹配到任何規則的數據包會被丟棄。符合要求的數據包被加上一個叫做internal head的自定義頭部。這個自定義頭部包含了這個數據包的長度、協議類型、時間戳和cookie等信息,這里cookie字段是數據包分發的依據。此后驅動程序惟一需要解析的包頭只有自定義頭部,從而降低了軟件處理部分的復雜度。
　　經過過濾后,符合要求的數據包會被暫存在硬件外部高速存儲器中,同時包處理模塊以中斷的方式通知驅動新數據的到來。為避免頻繁中斷帶來的額外的系統開銷,在設計上采用了以數據塊而不是以數據包的方式來觸發中斷:暫存在硬件外部高速存儲器中的數據達到規定大小時觸發中斷, 數據借助這次中斷通過DMA方式送往主機側。當然,為防止收取不到規定大小的數據塊而造成的死鎖,也就是如果收取的數據在一定時間仍沒有辦法達到這個大小,則采用超時機制強行發出中斷請求,送出剩余的數據。
系統硬件數據處理的整個過程如圖1所示。

4 性能測試
　　實驗使用SmartBits測試儀模擬真實的網絡環境對本系統進行了測試。測試硬件平臺為Intel P4 2.4GHz的處理器,1GB內存,64位PCI總線;軟件平臺為Fedra core3。測試結果" title="測試結果">測試結果顯示傳統的Libpcap在400Mbps左右就已經出現嚴重的丟包現象,而且受包長影響很大。而本系統在單設備雙輸入的情況下,當包速率超過1 800Mbps才出現丟包現象,并基本不受包長變化影響。另外測試結果表明本系統在Linux操作系統平臺下有較低的系統占用,如圖5所示本系統在不同包長的情況下處理器占用率均比Intel 光網卡 PRO/1000F要低得多。
　　本文在參考傳統網絡數據包捕獲方法的同時,針對傳統方法的一些弱點,提出一種軟硬件結合的包捕獲方案。該方案由硬件完成數據包過濾的任務,并對軟件部分作了優化,測試結果表明,該方案能滿足大多數高速網絡數據包捕獲任務的需要,具有廣泛的應用前景。

參考文獻
1 White G B，Pooch U W.Cooperating security managers：Distributed intrusion detection systems.Computers & Security，1996；15(5)：441～450
2 唐正軍，劉代志.網絡嗅探器Sniffer軟件源代碼淺3：采用Labpcap庫的通用設計.計算機工程，2002；28(2)
3 Jacobson V，Leres C，McCanne S.The tcpdump manual page. Lawrence Berkeley Laboratory，Berkeley，CA，1997
4 Kurmann C，Rauch F，Stricker T.Speculative defragmentation-leading gigabit ethernet to true Zero-Copy communication. Cluster Computing，2001；4(1)：7～18
5 Rubini A，Corbet J著，魏永明，駱 剛，姜 君譯.Linux設備驅動程序(第二版).北京：中國電力出版社，2004：275～276