CN104506379B - 网络数据捕获方法和系统 - Google Patents
网络数据捕获方法和系统 Download PDFInfo
- Publication number
- CN104506379B CN104506379B CN201410771925.6A CN201410771925A CN104506379B CN 104506379 B CN104506379 B CN 104506379B CN 201410771925 A CN201410771925 A CN 201410771925A CN 104506379 B CN104506379 B CN 104506379B
- Authority
- CN
- China
- Prior art keywords
- buffer area
- circular buffer
- packet
- network interface
- interface card
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种网络数据捕获方法和系统。该方法包括:网卡捕获数据包,并缓存至网卡的接收先入先出队列中;通过PCI DMA控制器将队列中的数据包传输至内核态驱动中的预配置循环缓存区;基于预设中断触发策略,向内核态驱动发送中断请求;内核态驱动根据中断请求,停止接收所述网卡发送的新的中断请求,并更新循环缓存区的描述符,以及恢复接收所述网卡发送的新的中断请求;用户态数据分析装置根据循环缓存区的当前描述符,判断到循环缓存区有数据包时,提取数据包,并更新循环缓存区的描述符,实现了整个传输过程零拷贝,且无需系统调用,节约了CPU资源,提高了数据包的传输效率。
Description
技术领域
本发明实施例涉及计算机操作系统领域,尤其涉及一种网络数据捕获方法和系统。
背景技术
随着计算机和通信技术的发展,网络的应用迅速普及,与此同时,网络的安全性和可靠性日益受到人们的重视,安全性主要指网络上的信息不被窃取、泄露及破坏;可靠性主要指网络系统能够持续、稳定、可靠地运行,网络服务不被中断和破坏。网络数据包捕获、监听和分析技术是网络安全维护的一个基础技术,在当前流行的大多数网络流量及内容分析系统中,几乎都离不开网络数据的捕获。
网络数据捕获是指将通信数据通过分光或者镜像得到一份副本,然后经过以太网卡(以下简称为网卡)将数据捕获进入到数据分析装置中。
请参阅图1,为现有技术中一种网络数据捕获系统的结构示意图。该系统包括:网卡11、内核缓存区12、内核协议栈13、应用缓存区14和数据分析装置15,其中,应用缓存区14和数据分析装置15属于应用态。现有的网络数据捕获技术,一般是由网卡11捕获数据包,并通过数据拷贝将数据包传输到内核缓存区12中;内核缓存区12中的数据包利用内核协议栈13,通过多次数据拷贝逐级往上传递,具体地通过内核协议栈13的数据包套接字(packetsocket)将数据包拷贝一份,并将数据包逐级往上传递;数据分析装置15通过系统调用,将传递到上层的内存缓存区12中的数据包拷贝至应用缓存区14中。
上述网络数据捕获技术存在的缺陷在于:从网卡捕获到数据包,并将数据包传递到数据分析装置的过程中,不仅存在多次数据拷贝,而且还需要系统调用,导致降低了数据包的传输效率,增加了系统和CPU(Central Processing Unit,中央处理器)资源开销。
发明内容
本发明实施例提供一种网络数据捕获方法和系统,以减少系统和CPU资源开销,并提高数据包的传输效率。
第一方面,本发明实施例提供了一种网络数据捕获方法,包括:
网卡捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列中;
所述网卡通过外设部件互连接口直接内存访问PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区;
所述网卡基于预设中断触发策略,向所述内核态驱动发送中断请求;
所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作;
用户态数据分析装置根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包;
若是,则所述用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符;
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
第二方面,本发明实施例提供了一种网络数据捕获系统,所述系统包括:网卡、内核态驱动和用户态数据分析装置;
所述网卡用于捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列中;还用于通过外设部件互连接口直接内存访问PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区;还用于基于预设中断触发策略,向所述内核态驱动发送中断请求;
所述内核态驱动用于预先配置循环缓存区;还用于根据所述网卡发送的所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;
所述用户态数据分析装置用于根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包;若是,则从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作;
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
本发明实施例提供的网络数据捕获方法和系统,通过外设部件互连接口为网卡提供连接接口,基于直接内存访问技术,将网卡的接收先入先出队列中数据包传输至内核态驱动中的预配置循环缓存区,仅需事先安排的少量CPU资源即可自动完成数据包从网卡到内核态驱动的传输,因此在大量数据包传输过程中节约了大量的CPU资源;通过内核态驱动和用户态数据分析装置共享及互斥使用循环缓存区,一方面,实现用户态和内核态之间共享循环缓存区以及循环缓存区的描述符,避免数据从内核态拷贝到用户态的大量拷贝过程,从而进一步节约了大量CPU资源,另一方面,保证用户态和内核态在循环缓存区的描述符的操作上是同步的,因此,解决了数据的生产和消费之间的同步问题,并且在数据包从网卡到内核态控制器的循环缓存区,以及从循环缓存区到用户态数据分析装置的整个过程中零拷贝,用户态不需要系统调用就可以访问到内核态捕获到的数据包,从而避免了不必要的系统调用和由内核同时服务于多个网卡时产生的上下文切换开销,同时提高了数据包的传输效率。
附图说明
为了更清楚地说明本发明,下面将对本发明中所需要使用的附图做一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中一种网络数据捕获系统的结构示意图;
图2a为本发明实施例一提供的一种网络数据捕获方法的流程图;
图2b为本发明实施例一提供的网络数据捕获方法中一种用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符的方法流程图;
图2c为本发明实施例一提供的一种网卡、内核态驱动和用户态数据分析装置共享循环缓存区的示意图;
图3为本发明实施例二提供的一种网络数据捕获方法的流程图;
图4为本发明实施例三提供的一种网络数据捕获系统的结构示意图;
图5为本发明实施例四提供的一种网络数据捕获系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施例中的技术方案作进一步详细描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。可以理解的是,此处所描述的具体实施例仅用于解释本发明,而非对本发明的限定,基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部内容。
实施例一
请参阅图2a,为本发明实施例一提供的一种网络数据捕获方法的流程图。本发明实施例的方法适用于网络数据捕获系统,该系统包括:网卡、内核态驱动和用户态数据分析装置。其中,网卡属于硬件层,内核态驱动属于内核态,用户态数据分析装置属于用户态。
该方法包括:步骤210~步骤260。
步骤210、网卡捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列中。
其中,接收先入先出队列(RX First Input First Output,RX FIFO)用于接收网卡捕获到的数据包。RX代表接收,先入先出队列(FIFO)是一种先进先出的数据缓存器,与普通存储器的区别在于:没有外部读写地址线,使用起来非常简单,先入先出队列的特点在于:只能顺序写入数据,顺序的读出数据,其数据地址由内部读写指针自动加1完成,而普通存储器是由地址线决定读取或写入某个指定的地址。
步骤220、所述网卡通过外设部件互连接口直接内存访问(Peripheral ComponentInterconnect Direct Memory Access,PCI DMA)控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区(RingBuffer)。
在本步骤中,具体是采用PCI为网卡提供连接接口,基于直接内存访问(DMA)技术,将网卡的接收先入先出队列中数据包传输至内核态驱动中的预配置循环缓存区,仅需事先安排的少量CPU资源即可自动完成数据包从网卡到内核态驱动的传输,因此在大量数据包传输过程中节约了大量的CPU资源。
其中,具体可以采用PCI插槽,该插槽可插接显卡、声卡、网卡、USB2.0卡、以及视频采集卡等多种扩展卡,通过插接不同的扩展卡可以实现相应功能。
直接内存访问(DMA)是用于快速数据交换的重要技术,具有独立于CPU的后台批量数据传输能力。
循环缓存区主要负责缓存网卡传输的数据包、以及内核态和用户态之间的数据交互。
步骤230、所述网卡基于预设中断触发策略,向所述内核态驱动发送中断请求。
本步骤具体可以是在由网卡传输至内核态驱动中的预配置循环缓存区的数据包达到设定数量时,触发网卡向所述内核态驱动发送中断请求。
本步骤中,除了根据数据包的数量触发网卡向所述内核态驱动发送中断请求之外,还可以根据设定时间,触发网卡向所述内核态驱动发送中断请求,也即网卡捕获数据包,并将捕获的数据包传输至内核态驱动的循环缓存区,并再次捕获新的数据包,并将捕获的新数据包传输至内核态驱动的循环缓存区,如此循环往复,只要网卡执行捕获数据包,并将捕获的数据包传输至内核态驱动的循环缓存区的操作的时间达到设定时间,则触发网卡向所述内核态驱动发送中断请求。
步骤240、所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作。
需要说明的是,在执行本步骤时,网卡可以执行继续捕获新的数据包的操作。所述内核态驱动每接收到一次中断请求,即对中断请求进行响应,由于在对当前中断请求进行响应过程中,首先停止接收所述网卡发送的新的中断请求,使得在所述内核态驱动根据当前中断请求进行中断响应的过程中,不被所述发送的新的中断请求再次中断,由于在对当前中断请求进行响应后,恢复接收所述网卡发送的新的中断请求,能够使内核态驱动对每一次中断请求进行响应的过程中不被新的中断请求所打扰,这样,在每一次中断响应过程中,保证了更新的所述循环描述符的准确性。
步骤250、用户态数据分析装置根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包,若是,执行步骤260。
步骤260、所述用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符。
步骤240具体可以是,所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求。
更新所述循环缓存区的头指针和尾指针,以及使用计数和空闲计数;
更新所述循环缓存区包含的缓存单元对应的状态。
其中,所述循环缓存区包含的缓存单元对应的状态,可以包括:空闲状态、使用中状态和可用状态。
其中,网卡根据头指针指向的缓存单元以及各缓存单元的次序关系,依次将捕获到的数据包传输至头指针指向的缓存单元以及该缓存单元的后序各缓存单元中;用户态数据分析装置根据尾指针指向的缓存单元以及各缓存单元的次序关系,依次从尾指针指向的缓存单元以及该缓存单元的后序各缓存单元中提取数据包;使用计数为存储有数据包的缓存单元总数/循环缓存区包含的缓存单元总数,一方面,网卡可以将捕获的数据包传输至从头指针指向的缓存单元开始的使用计数分子对应的缓存单元中,另一方面,用户态数据分析装置可以根据所述循环缓存区的当前描述符中的尾指针和使用计数,分别判断所述循环缓存区中从尾指针指向的缓存单元开始的使用计数分子对应的缓存单元中是否有数据包;空闲计数为未存储数据包的缓存单元总数/循环缓存区包含的缓存单元总数。
当前头指针指向的缓存单元(Buffer)的状态为空闲状态时,网卡可以将捕获的数据包传输至该Buffer中;当前头指针指向的Buffer的状态为使用中状态时,只有正在往该Buffer中传输数据包的网卡可以继续将捕获的数据包传输至该Buffer中;当前尾指针指向的Buffer的状态为使用中状态时,用户态数据分析装置判断到该Buffer中没有数据包,因此所述用户态数据分析装置不可以从所述循环缓存区中提取数据包,从而无需更新所述循环缓存区的描述符;当前尾指针指向的Buffer的状态为可用状态时,用户态数据分析装置判断到该Buffer中有数据包,因此所述用户态数据分析装置可以从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符。
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
需要说明的是,在所述内核态驱动进行中断响应的过程中,所述网卡可以返回捕获新的数据包的操作,并将所述捕获的新的数据包传输至所述循环缓存区中当前头指针指向的、且当前状态为空闲状态的缓存单元中。
本实施例的技术方案,通过PCI为网卡提供连接接口,基于直接内存访问技术,将网卡的接收先入先出队列中数据包传输至内核态驱动中的预配置循环缓存区,仅需事先安排的少量CPU资源即可自动完成数据包从网卡到内核态驱动的传输,因此在大量数据包传输过程中节约了大量的CPU资源;通过内核态驱动和用户态数据分析装置共享及互斥使用循环缓存区,一方面,实现用户态和内核态之间共享循环缓存区以及循环缓存区的描述符,避免数据从内核态拷贝到用户态的大量拷贝过程,从而进一步节约了大量CPU资源,另一方面,保证用户态和内核态在循环缓存区的描述符的操作上是同步的,因此,解决了数据的生产和消费之间的同步问题,并且在数据包从网卡到内核态控制器的循环缓存区,以及从循环缓存区到用户态数据分析装置的整个过程中零拷贝,用户态不需要系统调用就可以访问到内核态捕获到的数据包,从而避免了不必要的系统调用和由内核同时服务于多个网卡时产生的上下文切换开销,同时提高了数据包的传输效率。
在本实施例的基础上,在步骤250之后,所述方法还可以包括:若否,则执行步骤270。
步骤270、所述用户态数据分析装置按预设睡眠时长睡眠,并在所述预设睡眠时长之后,返回根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包的操作。
也即,在判断到没有数据包时,所述用户态数据分析装置按预设睡眠时长(例如10s)睡眠,并在所述预设睡眠时长之后,返回步骤250。
还需要说明的是,在步骤260之后,可以返回步骤250,换言之,进行下一轮的数据包有无判断的操作。
本实施方式,通过用户态数据分析装置主动轮询循环缓存区是否有数据包,在有数据包时,能够使用户态数据分析装置及时捕获网卡传输的数据包,提高了数据包的传输效率,在没有数据包时,进行睡眠,减少了系统开销,并在设定的睡眠时长之后,再次主动轮询循环缓存区是否有数据包,有利于及时发现数据包。
请参阅图2b,为本发明实施例一提供的网络数据捕获方法中一种用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符的方法流程图。
该方法包括:步骤261~步骤263。
步骤261、所述用户态数据分析装置判断循环缓存区的当前使用计数是否大于0,若是,则执行步骤262。
步骤262、所述用户态数据分析装置从当前尾指针指向的、且当前状态为可用状态的缓存单元中提取数据包。
步骤263、所述用户态数据分析装置将提取数据包后的该缓存单元的状态更新为空闲状态,并更新所述循环缓存区的尾指针、以及使用计数和空闲计数,并返回判断循环缓存区的当前使用计数是否大于0的操作。
示例
请参阅图2c,为本发明实施例一提供的一种网卡、内核态驱动和用户态数据分析装置共享循环缓存区的示意图。
内核态驱动预先配置循环缓存区(RingBuffer),该循环缓存区由多个缓存单元(Buffer)组成(如图2c所示),然后,内核态驱动初始化配置的循环缓存区,每个Buffer对应各自的初始化的描述符(RX Ring),如图2c中所示,每个Buffer对应各自接收描述符,具体可以包括第一接收描述符(RX Desc1)、第二接收描述符(RX Desc2)以及第三接收描述符(RX Desc3)等。硬件层的网卡通过PCI DMA控制器并根据RX Ring中初始化的RX Desc,将捕获到的数据包传输至内核态驱动中的预配置循环缓存区(RingBuffer)中,可以供内核态驱动和用户态数据分析装置访问。
例如,以循环缓存区包括20个缓存区为例进行说明。内核态驱动配置并初始化循环缓存区之后,循环缓存区的描述符中的头指针(head)指向第一个缓存单元(Buffer),循环缓存区的描述符中的尾指针(tail)也指向第一个Buffer,同时将循环缓存区的描述符中的使用计数(used_cnt)初始化为0/20和空闲计数(free_cnt)初始化为20/20,并将20个缓存区的状态均初始化为空闲状态。
假设第一网卡捕获到2个数据包,之后第二网卡捕获到1个数据包,假设每个数据包占据一个Buffer,并假设第一网卡传输至内核态驱动中的预配置循环缓存区的数据包达到2个以上时,第一网卡向所述内核态驱动发送中断请求,以及第二网卡传输至内核态驱动中的预配置循环缓存区的数据包达到3个以上时,第二网卡向所述内核态驱动发送中断请求。
循环缓存区的初始化描述符中的头指针指向第一个Buffer,则第一网卡将捕获到的第一个数据包传输至内核态驱动的RingBuffer中的第一个Buffer中,并将捕获到的第二个数据包传输至第一个Buffer的后序第二个Buffer。在第二网卡将数据包传输至第三个Buffer中时,所述内核态驱动接收到第一网卡发送的中断请求,则内核态驱动更新所述循环缓存区的描述符(RingBufferDesc),具体地,将循环缓存区的描述符更新如下:头指针指向第四个Buffer,尾指针仍指向第一个Buffer,使用计数更新为3/20,空闲计数更新为17/20,将第一个Buffer和第二个Buffer状态均更新为可用状态,并将第三个Buffer的状态更新为使用中状态,以及将第四个Buffer及后序的第五个Buffer等的状态均更新为空闲状态。
由于所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区,因此同一时刻只支持内核态驱动或用户态数据分析装置执行的所述描述符更新操作,此时,内核态驱动和用户态数据分析装置共享的循环缓存区的描述符为:头指针指向第四个Buffer,尾指针指向第一个Buffer,使用计数为3/20,空闲计数为17/20,第一个Buffer和第二个Buffer状态均为可用状态,第三个Buffer的状态为使用中状态,以及第四个Buffer及后序的第五个Buffer等的状态均为空闲状态。
用户态数据分析装置根据所述循环缓存区的当前描述符的尾指针和使用计数,具体执行下述操作:判断到循环缓存区的当前使用计数3/20大于0,根据当前尾指针指向的第一个Buffer,以及该第一个Buffer的状态为可用状态,则判断到第一个Buffer中存储有数据包,并从第一个Buffer提取数据包,在从第一个Buffer提取数据包之后,不更新头指针,也即头指针仍指向第四个Buffer,尾指针更新为指向第二个Buffer,使用计数更新为2/20,空闲计数更新为18/20,将第一个Buffer的状态更新为空闲状态,不更新其他Buffer的状态;之后,判断到循环缓存区的当前使用计数2/20大于0,根据当前尾指针指向的第二个Buffer,以及该第二个Buffer的状态为可用状态,则判断到第二个Buffer中存储有数据包,并从第二个Buffer提取数据包,在从第二个Buffer提取数据包之后,不更新头指针,也即头指针仍指向第四个Buffer,尾指针更新为指向第三个Buffer,使用计数更新为1/20,空闲计数更新为19/20,将第二个Buffer的状态更新为空闲状态,不更新其他Buffer的状态;之后,判断到循环缓存区的当前使用计数1/20大于0,根据当前尾指针指向的第三个Buffer,以及该第三个Buffer的状态为使用中状态,则判断到第三个Buffer中没有数据包,而是正在存储数据包,则不从第三个Buffer中提取数据包,此时不更新循环缓存区的描述符。
实施例二
请参阅图3,为本发明实施例二提供的一种网络数据捕获方法的流程图。本实施例的方法适用于网络数据捕获系统,该系统包括:驱动模块、配置于硬件层的网卡、配置于内核态的内核态驱动和网络适配器,以及配置于用户态的用户态数据分析装置。其中,网络适配器为网卡的硬件驱动,主要负责网卡的初始化和配置、以及数据包的收发等功能;整个方法流程包括两级循环体,分别为循环体一和循环体二,在循环体一中,由驱动模块加载(即图3所示的注册驱动模块)开始工作,直到驱动模块卸载(即图3所示的注销驱动模块)结束工作。
该方法包括:步骤310~步骤370。其中,循环体一包括步骤310~步骤370,循环体二包括步骤330~步骤350。
步骤310、注册驱动模块。
步骤320、内核态驱动注册并创建循环缓存区(RingBuffer)。在本步骤中,具体可以包括步骤321~步骤322。
步骤321、所述内核态驱动注册并创建循环缓存区。
步骤322、所述内核态驱动初始化所述创建的循环缓存区,作为预配置循环缓存区。
其中,RingBuffer可以设计为字符设备。
步骤330、打开网络适配器。
步骤340、网卡捕获数据包,并与内核态驱动和用户态数据分析装置交互捕获到的数据包。
本步骤中,同样适用于前述实施例中步骤210~步骤260,或者步骤210~步骤270,此处不再赘述。
需要说明的是,在步骤210之前,执行步骤320即可,从而网卡可以将捕获到的数据包传输至预配置循环缓存区中。
步骤350、关闭网络适配器。
步骤360、注销驱动模块。
步骤370、所述内核态驱动注销并释放所述创建的循环缓存区。
需要说明的是,在步骤260之后,执行步骤370即可。
步骤370具体可以包括:步骤371~步骤373。
步骤371中,清空循环缓存空间,也即清空各缓存单元;步骤372中,释放循环缓存空间,也即释放各缓存单元;步骤373中,注销循环缓存区(RingBuffer)。由前述可知,RingBuffer被设计为字符设备,因此步骤373也就是注销该RingBuffer字符设备。
需要说明的是,循环体二的循环次数通常大于循环体一的循环次数。换言之,并非在每次网卡捕获数据包,并通过PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区之前,都由所述内核态驱动执行注册并创建循环环缓存区;并初始化所述创建的循环缓存区,作为所述预配置循环缓存区的操作。
同样地,并非在每次在所述用户态数据分析装置从所述循环缓存区中提取数据包之后,都执行所述内核态驱动注销并释放所述创建的循环缓存区的操作。
本实施例的技术方案,在循环体一中,由驱动模块加载开始工作,直到驱动模块卸载结束工作。驱动模块加载后,首先注册并创建循环缓存区,注册过程中初始化循环缓存区区作为预配置循环缓存区,然后进入循环体二;驱动模块卸载时,首先清空和释放循环缓存区空间,注销RingBuffer设备;在循环体二中,网卡捕获数据包,并与内核态驱动和用户态数据分析装置交互捕获到的数据包,通过外设部件互连接口为网卡提供连接接口,基于直接内存访问技术,将网卡的接收先入先出队列中数据包传输至内核态驱动中的预配置循环缓存区,仅需事先安排的少量CPU资源即可自动完成数据包从网卡到内核态驱动的传输,因此在大量数据包传输过程中节约了大量的CPU资源;通过内核态驱动和用户态数据分析装置共享及互斥使用循环缓存区,一方面,实现用户态和内核态之间共享循环缓存区以及循环缓存区的描述符,避免数据从内核态拷贝到用户态的大量拷贝过程,从而进一步节约了大量CPU资源,另一方面,保证用户态和内核态在循环缓存区的描述符的操作上是同步的,因此,解决了数据的生产和消费之间的同步问题,并且在数据包从网卡到内核态控制器的循环缓存区,以及从循环缓存区到用户态数据分析装置的整个过程中零拷贝,用户态不需要系统调用就可以访问到内核态捕获到的数据包,从而避免了不必要的系统调用和由内核同时服务于多个网卡时产生的上下文切换开销,同时提高了数据包的传输效率。
实施例三
请参阅图4,为本发明实施例三提供的一种网络数据捕获系统的结构示意图。所述系统包括:网卡410、内核态驱动420和用户态数据分析装置430。
其中,所述网卡410用于捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列(RX FIFO)中;还用于通过PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动420中的预配置循环缓存区,具体可以通过PCI DMA控制器将所述接收先入先出队列中的数据包传输至网络适配器(adapter)的数据接收空间(rx ring)所指向的内核态驱动420中的预配置循环缓存区;还用于基于预设中断触发策略,向所述内核态驱动420发送中断请求;所述内核态驱动420用于预先配置循环缓存区;还用于根据所述网卡410发送的所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作;所述用户态数据分析装置430用于根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包;若是,则从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符,具体地,用户态中提供函数接口库,函数接口库主要提供初始化、接收数据包以及数据包统计的函数级接口,用户态数据分析装置430可以根据所述循环缓存区的当前描述符,通过相应的函数接口判断所述循环缓存区是否有数据包;若是,则通过函数接口库以及内存映射技术(mmap)从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符,其中,内存映射技术用于将数据包空间映射到用户态数据分析装置430中。
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
本实施例的技术方案,通过PCI为网卡提供连接接口,基于直接内存访问技术,将网卡的接收先入先出队列中数据包传输至内核态驱动中的预配置循环缓存区,仅需事先安排的少量CPU资源即可自动完成数据包从网卡到内核态驱动的传输,因此在大量数据包传输过程中节约了大量的CPU资源;通过内核态驱动和用户态数据分析装置共享及互斥使用循环缓存区,一方面,实现用户态和内核态之间共享循环缓存区以及循环缓存区的描述符,避免数据从内核态拷贝到用户态的大量拷贝过程,从而进一步节约了大量CPU资源,另一方面,保证用户态和内核态在循环缓存区的描述符的操作上是同步的,因此,解决了数据的生产和消费之间的同步问题,并且在数据包从网卡到内核态控制器的循环缓存区,以及从循环缓存区到用户态数据分析装置的整个过程中零拷贝,用户态不需要系统调用就可以访问到内核态捕获到的数据包,从而避免了不必要的系统调用和由内核同时服务于多个网卡时产生的上下文切换开销,同时提高了数据包的传输效率。
需要说明的是,以上说明了网卡捕获到数据包之后,如何传输至用户态数据分析装置中,涉及网卡的接收先入先出队列(RX FIFO),网络适配器(adapter)的数据接收队列(rx ring),最终传输至用户态数据分析装置中。在用户态数据分析装置对数据包进行分析后,可以将分析结果,按照与上述网络捕获系统执行的网络数据捕获方法相反的操作流程传输至网卡的发送先入先出队列(TXFIFO),此处不再赘述。
在上述方案中,所述内核态驱动420具体可以用于:
根据所述中断请求,停止接收所述网卡发送的新的中断请求;
更新所述循环缓存区的头指针和尾指针,以及使用计数和空闲计数;
更新所述循环缓存区包含的缓存单元对应的状态。
进一步地,所述循环缓存区包含的缓存单元对应的状态,可以包括:空闲状态、使用中状态和可用状态。
进一步地,所述用户态数据分析装置430具体可以用于:判断循环缓存区的当前使用计数是否大于0;若是,则从当前尾指针指向的、且当前状态为可用状态的缓存单元中提取数据包;将提取数据包后的该缓存单元的状态更新为空闲状态,并更新所述循环缓存区的尾指针、以及使用计数和空闲计数,并返回判断循环缓存区的当前使用计数是否大于0的操作。
在上述方案中,所述用户态数据分析装置430还可以用于在根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包之后,若否,则按预设睡眠时长睡眠,并在所述预设睡眠时长之后,返回根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包的操作。
在上述方案中,所述内核态驱动420具体可以用于在所述网卡通过PCIDMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区之前,注册并创建循环缓存区;初始化所述创建的循环缓存区,作为所述预配置循环缓存区;所述内核态驱动420还可以用于在所述用户态数据分析装置从所述循环缓存区中提取数据包之后,注销并释放所述创建的循环缓存区。
本发明实施例提供的网络数据捕获系统可执行本发明任意实施例所提供的网络数据捕获方法,具备执行方法相应的功能模块和有益效果。
实施例四
请参阅图5,为本发明实施例四提供的一种网络数据捕获系统的结构示意图。本系统包括两套子系统,第一套子系统和第二套子系统分时共用网卡510和网络适配器520,第一套子系统还包括:循环缓存区对应的字符设备530、文件系统540和第一用户态数据分析装置550;第二套子系统还包括:内核协议栈560和第二用户态数据分析装置570。
其中,循环缓存区对应的字符设备530负责分配、释放循环缓存区(RingBuffer)空间,管理RingBuffer的生产消费关系,该字符设备对应前述各实施例中的循环缓存区,当循环缓存区被设计为字符设备时,对用户展现为循环缓存区对应的字符设备530。第一用户态数据分析装置550通过文件系统540中的/dev/ringbuffer_x(x为0,1,2,3…)访问RingBuffer空间,从而实现数据包的接收和发送。
其中,循环缓存区对应的字符设备530与内核协议栈560中的网络设备(net_device)层平级,对于第二套子系统,网卡510将捕获的数据包传输至网络适配器520中,然后将网卡510捕获到的数据包经网络适配器520传输至内核协议栈560中,其中内核协议栈560通过套接字(socket)接口访问对应的net_device,然后再访问对应的网络适配器520中的数据包,第二用户态数据分析装置570通过系统调用将传递到内核协议栈560中的数据包拷贝至用户态应用缓存区中。
其中,第一套子系统工作在零拷贝模式,其工作原理可参阅实施例一,此处不再赘述,当工作在零拷贝模式下时,接收的数据包存放在接收循环缓存区中;第二套子系统工作在正常模式,其工作原理可参见前述图1及相应的介绍,此处不再赘述。用户可以根据实际需要在这种两种模式下进行切换。
最后应说明的是:以上各实施例仅用于说明本发明的技术方案,而非对其进行限制;实施例中优选的实施方式,并非对其进行限制,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络数据捕获方法,其特征在于,包括:
网卡捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列中;
所述网卡通过外设部件互连接口直接内存访问PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区;
所述网卡基于预设中断触发策略,向所述内核态驱动发送中断请求;
所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作;
用户态数据分析装置根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包;
若是,则所述用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符;
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
2.根据权利要求1所述的方法,其特征在于,所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求,并更新所述循环缓存区的描述符,包括:
所述内核态驱动根据所述中断请求,停止接收所述网卡发送的新的中断请求;
更新所述循环缓存区的头指针和尾指针,以及使用计数和空闲计数;
更新所述循环缓存区包含的缓存单元对应的状态。
3.根据权利要求2所述的方法,其特征在于,所述循环缓存区包含的缓存单元对应的状态,包括:空闲状态、使用中状态和可用状态。
4.根据权利要求3所述的方法,其特征在于,所述用户态数据分析装置从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符,包括:
所述用户态数据分析装置判断循环缓存区的当前使用计数是否大于0;
若是,则所述用户态数据分析装置从当前尾指针指向的、且当前状态为可用状态的缓存单元中提取数据包;
所述用户态数据分析装置将提取数据包后的该缓存单元的状态更新为空闲状态,并更新所述循环缓存区的尾指针、以及使用计数和空闲计数,并返回判断循环缓存区的当前使用计数是否大于0的操作。
5.根据权利要求1-4任一所述的方法,其特征在于,在用户态数据分析装置根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包之后,所述方法还包括:
若否,则所述用户态数据分析装置按预设睡眠时长睡眠,并在所述预设睡眠时长之后,返回根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包的操作。
6.根据权利要求1-4任一所述的方法,其特征在于,在所述网卡通过PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区之前,所述方法还包括:
所述内核态驱动注册并创建循环缓存区;
所述内核态驱动初始化所述创建的循环缓存区,作为所述预配置循环缓存区;
在所述用户态数据分析装置从所述循环缓存区中提取数据包之后,所述方法还包括:
所述内核态驱动注销并释放所述创建的循环缓存区。
7.一种网络数据捕获系统,其特征在于,所述系统包括:网卡、内核态驱动和用户态数据分析装置;
所述网卡用于捕获数据包,并将所述数据包缓存至网卡的接收先入先出队列中;还用于通过外设部件互连接口直接内存访问PCI DMA控制器将所述接收先入先出队列中的数据包传输至内核态驱动中的预配置循环缓存区;还用于基于预设中断触发策略,向所述内核态驱动发送中断请求;
所述内核态驱动用于预先配置循环缓存区;还用于根据所述网卡发送的所述中断请求,停止接收所述网卡发送的新的中断请求,以使在所述内核态驱动根据所述中断请求进行中断响应的过程中,不被所述网卡发送的新的中断请求再次中断;并更新所述循环缓存区的描述符;以及恢复接收所述网卡发送的新的中断请求,在接收到新的中断请求时,返回根据所述新的中断请求执行所述中断响应操作;
所述用户态数据分析装置用于根据所述循环缓存区的当前描述符,判断所述循环缓存区是否有数据包;若是,则从所述循环缓存区中提取数据包,并更新所述循环缓存区的描述符;
其中,所述内核态驱动和所述用户态数据分析装置通过内存映射技术共享所述循环缓存区;基于原子变量和原子操作的数据同步技术互斥使用所述循环缓存区。
8.根据权利要求7所述的系统,其特征在于,所述内核态驱动具体用于:
根据所述中断请求,停止接收所述网卡发送的新的中断请求;
更新所述循环缓存区的头指针和尾指针,以及使用计数和空闲计数;
更新所述循环缓存区包含的缓存单元对应的状态。
9.根据权利要求8所述的系统,其特征在于,所述循环缓存区包含的缓存单元对应的状态,包括:空闲状态、使用中状态和可用状态。
10.根据权利要求9所述的系统,其特征在于,所述用户态数据分析装置具体用于:
判断循环缓存区的当前使用计数是否大于0;
若是,则从当前尾指针指向的、且当前状态为可用状态的缓存单元中提取数据包;
将提取数据包后的该缓存单元的状态更新为空闲状态,并更新所述循环缓存区的尾指针、以及使用计数和空闲计数,并返回判断循环缓存区的当前使用计数是否大于0的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410771925.6A CN104506379B (zh) | 2014-12-12 | 2014-12-12 | 网络数据捕获方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410771925.6A CN104506379B (zh) | 2014-12-12 | 2014-12-12 | 网络数据捕获方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506379A CN104506379A (zh) | 2015-04-08 |
| CN104506379B true CN104506379B (zh) | 2018-03-23 |
Family
ID=52948094
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410771925.6A Active CN104506379B (zh) | 2014-12-12 | 2014-12-12 | 网络数据捕获方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506379B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106911637A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106911640A (zh) * | 2015-12-23 | 2017-06-30 | 北京奇虎科技有限公司 | 网络威胁处理方法和装置 |
| CN106059955A (zh) * | 2016-04-14 | 2016-10-26 | 天津市德力电子仪器有限公司 | 一种基于soc dma的以太网实时抓包方法 |
| CN106571978B (zh) * | 2016-10-28 | 2020-11-27 | 东软集团股份有限公司 | 数据包捕获方法及装置 |
| CN108228490B (zh) * | 2018-01-26 | 2022-11-01 | 武汉精测电子集团股份有限公司 | 一种基于pcie卡高速数据传输的驱动方法 |
| CN109976877B (zh) * | 2019-03-22 | 2021-05-04 | 优刻得科技股份有限公司 | 利用virtio驱动实现请求的方法、装置和存储介质 |
| TWI764014B (zh) * | 2019-07-09 | 2022-05-11 | 三泰科技股份有限公司 | 應用於pcie對異質設備的中斷處理系統與方法 |
| CN110519497B (zh) * | 2019-08-28 | 2020-11-17 | 中国大恒(集团)有限公司北京图像视觉技术分公司 | 一种基于vdma的零拷贝触发采集装置及方法 |
| CN110855610B (zh) * | 2019-09-30 | 2022-12-13 | 视联动力信息技术股份有限公司 | 一种数据包的处理方法、装置及存储介质 |
| CN111030844B (zh) * | 2019-11-14 | 2023-03-14 | 中盈优创资讯科技有限公司 | 流量处理框架建立方法及装置 |
| CN113973091A (zh) * | 2020-07-23 | 2022-01-25 | 华为技术有限公司 | 一种报文处理方法、网络设备以及相关设备 |
| CN112905357A (zh) * | 2021-01-27 | 2021-06-04 | 清华大学 | 一种数据读取方法、系统、电子设备及存储介质 |
| CN113590520B (zh) * | 2021-06-15 | 2024-05-03 | 珠海一微半导体股份有限公司 | Spi系统自动写入数据的控制方法及spi系统 |
| CN114610660A (zh) * | 2022-03-01 | 2022-06-10 | Oppo广东移动通信有限公司 | 控制接口数据的方法、装置及系统 |
| CN117632799B (zh) * | 2023-12-05 | 2024-06-18 | 合芯科技有限公司 | 数据处理方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001025939A1 (en) * | 1999-10-04 | 2001-04-12 | B2C2, Inc. | System for receiving an isochronous data stream at a computer using a main memory buffer |
| CN1925465A (zh) * | 2006-09-22 | 2007-03-07 | 中国科学院计算技术研究所 | 基于共享内存实现的数据包捕获方法 |
| CN101079753A (zh) * | 2007-06-28 | 2007-11-28 | 深圳市中科新业信息科技发展有限公司 | 一种多链路抓包系统、方法及网络审计系统 |
| CN101227341A (zh) * | 2007-12-18 | 2008-07-23 | 浪潮电子信息产业股份有限公司 | Linux系统上以太网卡快速捕包的方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060090016A1 (en) * | 2004-10-27 | 2006-04-27 | Edirisooriya Samantha J | Mechanism to pull data into a processor cache |
-
2014
- 2014-12-12 CN CN201410771925.6A patent/CN104506379B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001025939A1 (en) * | 1999-10-04 | 2001-04-12 | B2C2, Inc. | System for receiving an isochronous data stream at a computer using a main memory buffer |
| CN1925465A (zh) * | 2006-09-22 | 2007-03-07 | 中国科学院计算技术研究所 | 基于共享内存实现的数据包捕获方法 |
| CN101079753A (zh) * | 2007-06-28 | 2007-11-28 | 深圳市中科新业信息科技发展有限公司 | 一种多链路抓包系统、方法及网络审计系统 |
| CN101227341A (zh) * | 2007-12-18 | 2008-07-23 | 浪潮电子信息产业股份有限公司 | Linux系统上以太网卡快速捕包的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506379A (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506379B (zh) | 网络数据捕获方法和系统 | |
| TWI317482B (en) | Wide-port context cache apparatus, systems and methods, and machine-accessible medium having associated information | |
| CN101267361A (zh) | 一种基于零拷贝技术的高速网络数据包捕获方法 | |
| CN103827842B (zh) | 向控制器存储器空间写入消息 | |
| CN102065569B (zh) | 一种适用于wlan的以太网mac子层控制器 | |
| CN106325758B (zh) | 一种队列存储空间管理方法及装置 | |
| CN111177025B (zh) | 数据存储方法、装置及终端设备 | |
| CN103856793B (zh) | 媒体内容缓冲 | |
| CN109308283A (zh) | 一种SoC片上系统及其外设总线切换方法 | |
| CN103186498A (zh) | 通过sas域在sata主机与sata目标装置间通信的方法和结构 | |
| CN102185833A (zh) | 一种基于fpga的fc i/o并行处理方法 | |
| CN209149287U (zh) | 大数据运算加速系统 | |
| WO2014206331A1 (zh) | 一种资源访问方法和计算机设备 | |
| US7466716B2 (en) | Reducing latency in a channel adapter by accelerated I/O control block processing | |
| CN103885900B (zh) | 数据访问处理方法、PCIe设备和用户设备 | |
| CN103678163B (zh) | 数据流的切换方法、装置及系统 | |
| CN104683460B (zh) | 一种物联网的通信方法、装置及服务器 | |
| CN103838694B (zh) | 一种fpga高速读取usb接口数据的方法 | |
| JP2004266610A (ja) | 通信システム、リモートアクセスサーバ装置とリソース管理方法およびプログラム | |
| CN112347030A (zh) | 基于fpga的数据处理方法及系统 | |
| CN109951532B (zh) | 一种基于dpdk的流量模型自动变换装置 | |
| CN207424866U (zh) | 一种基于异构多核处理器的内核之间的数据通讯系统 | |
| CN105991585A (zh) | 一种无线通信实现方法及系统 | |
| JP2003318897A (ja) | 通信システム、コネクション管理サーバ装置及びプログラム | |
| CN106057226B (zh) | 双端口存储系统的存取控制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Network Data Capture Methods and Systems Effective date of registration: 20230807 Granted publication date: 20180323 Pledgee: Bank of China Limited Beijing Xicheng Branch Pledgor: RUN TECHNOLOGIES Co.,Ltd. BEIJING Registration number: Y2023980051158 |