FastNetMon

Monday 8 December 2014

Как запустить tshark, tcpdump или iftop из под высокопроизводительного PF_RING?

Для этого нужно собрать pcap с поддержкой pf_ring. Сначала собираем модуль ядра - PF_RING. Потом собираем похаченую библиотеку pcap, в которой опрос данных переделан на PF_RING.
cd /usr/src
wget http://sourceforge.net/projects/ntop/files/PF_RING/PF_RING-6.0.2.tar.gz/download -OPF_RING.6.0.2.tar.gz
tar -xf PF_RING.6.0.2.tar.gz
cd PF_RING-6.0.2
Собираем либу (но не ставим):
cd lib
make
Собираем патченный pcap:
cd userland/libpcap-1.1.1-ring
./configure --prefix=/opt/pcap_pfring_602
make install
Врубаем tshark или любой другой софт с поддержкой pcap:

LD_PRELOAD=/opt/pcap_pfring_602/lib/libpcap.so tshark -i eth3
Можно iftop:
LD_PRELOAD=/opt/pcap_pfring_602/lib/libpcap.so iftop -i eth3
И даже tcpdump:

LD_PRELOAD=/opt/pcap_pfring_602/lib/libpcap.so tcpdump -i eth4 'proto l2tp'
И ура - скорость будет дикая! :)

Posted by at

No comments :

Post a Comment

Note: only a member of this blog may post a comment.

Subscribe to: Post Comments ( Atom )