本發明公開了一種基于報文零拷貝方式的高性能報文捕獲發送平臺，它包括網卡驅動模塊，內核報文處理棧模塊與用戶態接口動態庫模塊，網卡驅動模塊使得指定網卡的數據流程指向內核報文處理棧；內核報文處理棧，采用隊列的方式在內核態、用戶態之間傳遞網絡數據報文；用戶態的接口動態庫，使用統一接口實現報文的捕獲、發送。本發明能運行在多種軟、硬件平臺上、多種硬件平臺、多種linux發行版本、多種型號網卡，兼容性好。本發明能在不同流量、無出錯丟包要求下，提供報文給上層應用進行分析處理，穩定性好。本發明能使報文數據到達網卡驅動的緩沖后，后續的數據報文流程不再需要拷貝，效率高，適用于網絡安全領域對網絡流量進行應用識別、協議分析。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種基于報文零拷貝方式的高性能報文捕獲發送平臺。

背景技術

在網絡安全領域，需要在實時或事后的方式下，對網絡流量進行應用識別、協議分析。流量分析的前提，是需要一個穩定、高性能、兼容多種軟硬件的報文捕獲發送平臺。傳統的報文捕獲是利用libpcap開發出捕報文發送平臺，但libpcap的報文捕獲方式是：當報文到達網卡時，網卡通過DMA方式將其傳送到網卡驅動的緩沖環中，并在完成DMA傳送時產生一個硬件中斷。中斷處理程序將接收到的報文封裝成sk_buff結構，然后由netif_rx傳遞給網絡協議棧進行進一步處理。在內核網絡協議棧和Socket層處理后，用戶進程通過系統調用read或recvfrom從內核空間讀取報文。由于內核緩沖了絕大多數I/O操作，內核空緩沖區在一定程度上分割了用戶空間和物理設備，有利于應用層程序的設計實現。但是，內核緩沖區的使用卻增加了數據拷貝、中斷和CPU參與等系統開銷，從而影響報文捕獲的性能。

發明內容

本發明的目的是針對現有的報文捕獲發送中內核緩沖區增加系統開銷，影響報文捕獲性能的問題，發明一種基于報文零拷貝方式的高性能報文捕獲發送平臺。

一種基于報文零拷貝方式的高性能報文捕獲發送平臺，包括

用戶態接口動態庫模塊，包含

報文捕獲接口、報文釋放接口、申請skbuf接口、報文發送接口、初始化/注銷接口、日志調試統計接口；

內核報文處理棧模塊，包含

發送線程，負責取出帶有發送網卡信息的報文，并將報文發送至網卡；

填充線程，負責監控skbuf隊列，如隊列中可用skbuf小于50%，就申請skbuf并將其投入到skbuf隊列中，skbuf隊列給用戶態進程使用，用于拼接IP分片報文，或用戶態進程模擬大流量發送報文時填充報文數據；

釋放線程，負責從釋放隊列里取報文 skbuf，釋放歸還到skbuf緩存中；

檢測線程，負責檢測每個進程的捕包隊列，如果隊列上無操作超過一定時間則認為進程異常，關閉該隊列；

捕獲隊列，由用戶態進程初始化平臺控制結構實例時創建，用于接收網卡驅動中斷；發送隊列用于接收用戶態進程將要發生的報文，報文指針在接口內部被轉為物理地址，發送線程從發送隊列取報文，轉成線性地址后，發送到指定發送網卡；

skbuf隊列，用于存放填充線程填充的skbuf，skbuf地址均為物理地址，用戶態進程通過接口從skbuf隊列中取skbuf使用，接口內部轉為用戶態地址；

釋放隊列，用于接收用戶態進程將處理后需要釋放的報文，接口內部將報文地址轉為物理地址，釋放線程從釋放隊列中取報文釋放到skbuf緩存；

skbuf緩存，用于網卡收報文中斷后，拷貝存儲報文，也用于用戶態進程發送報文時填充構造的報文；