PF_RING开发指南 安装指南

1、pf_ring 主页

http://www.ntop.org/products/pf_ring/

2、pf_ring下载地址

http://www.ntop.org/get-started/download/#PF_RING

3、概述

      PF_RING是Luca Deri发明的提高内核处理数据包效率，并兼顾应用程序的补丁，如Libpcap和TCPDUMP等，以及一些辅助性程序（如ntop查看并分析网络流量等）。PF_RING是一种新型的网络socket，它可以极大的改进包捕获的速度。并且有如下特征：

1） 可以用于Linux 2.6.18以上的内核；

  2） 4.x版本的PF_RING可以直接应用于内核，不需要给内核打补丁；

3） PF_RING驱动可以进行包捕获的加速；

4） 支持使用商用网络适配器的10 GB的硬件包过滤

5） 设备驱动无关（推荐使用支持NAPI的网卡（intel网卡）来获得最好的性能）；

6） 基于内核的包捕获和采样；

7） Lipcap支持与基于pcap的应用程序的无缝集成；

8） 可以指定上百个头过滤到BPF中；

9） 内容检查，以至于只有符合负载过滤的包才能通过;

10）      PF_RING的插件可以用于增强包解析和内容过滤；

11）      可以工作在混杂模式（经过网卡的报文全部可以被捕获到）；

4、安装

   1. tar -xf PF_RING-5.4.3.tar.gz

   2. cd PF_RING-5.4.3

   3. make

   4. cd kernel; make & make install (安装内核模块)  (编译需要root权限)

（此时已经生成了pf_ring.ko ，  直接可以使用insmod pf_ring.ko安装）

   5. cd ../userland/lib; make install (安装开发库)

   6. cd ../libpcap-1.1.1-ring; ./configure; make; make install (安装libpcap)

  当PF_RING激活，会创建一个新的入口/proc/net/pf_ring。

  # cat /proc/net/pf_ring/info

  # cat /proc/net/pf_ring/plugins_info