7.1. Runmodes
Suricata由多个称为线程,线程模块和队列的“构建块”组成。 线程就像一个在计算机上运行的进程。 Suricata是多线程的,所以多个线程一次处于活动状态。
线程模块是功能的一部分。 一个模块用于解码数据包,另一个模块是检测模块,另一个模块是输出模块。 一个数据包可以被多个线程处理。 数据包将通过队列传递到下一个线程。 数据包一次只能由一个线程处理,但是引擎一次可以处理多个数据包。 (请参阅Max-pending-packets)一个线程可以有一个或多个线程模块。 如果他们有更多的模块,他们只能一次活动。 线程,模块和队列排列在一起的方式称为Runmode。
7.1.1不同的Runmodes
您可以从几个预定义的运行模式中选择一个运行模式。 命令行选项-list-runmodes显示所有可用的运行模式。 所有运行模式都有一个名称:auto,single,autofp。 最重要的任务是检测; 一个数据包将被检查数千个签名。
默认运行模式的示例:
在pfring模式下,每个流程在运行模式中遵循其自己的固定路线。
有关与runmode有关的命令行选项的更多信息,请参阅命令行选项。
7.2 抓包
7.2.1负载均衡
为了获得最佳表现,Suricata将需要以“worker”模式运行。这实际上意味着有多个线程,每个线程运行一个完整的数据包管道,每个线程都从捕获方法接收数据包。这意味着我们依靠捕获方法来将数据包分发到各个线程上。其中一个关键的方面就是Suricata需要以正确的顺序在同一个线程中获取流程的两个方面。
AF_PACKET和PF_RING捕获方法都有选择“集群类型”的选项。这些默认为'cluster_flow',它指示捕获方法按流(5元组)进行散列。这个散列是对称的。
Netmap没有内置的cluster_flow模式。可以使用“lb”工具单独添加:https://github.com/luigirizzo/netmap/tree/master/apps/lb
警告最近的AF_PACKET变化已经“broken”:https://redmine.openinfosecfoundation.org/issues/1777这种对称性。目前正在进行“解决这个问题”的工作:https://redmine.openinfosecfoundation.org/issues/1777#note-7,但现在停留在内核<= 4.2或更新到4.4.16+,4.6.5+或4.7+。
在几乎所有现代NIC的多队列NIC上,都需要考虑RSS设置。
7.2.2. RSS
接收端缩放(RSS)是网卡使用的一种技术,用于将传入流量分配到网卡上的各个队列中。 这是为了提高性能,但重要的是要认识到它是为正常流量设计的,而不是针对IDS数据包捕获的情况。 RSS使用哈希算法来将传入流量分配到各个队列中。 这个散列通常不是对称的。 这意味着当接收到一个流的双方时,每一方都可能以不同的队列结束。 可悲的是,在部署Suricata时,这是使用跨度端口或水龙头(Trap)时的常见情况。
这里的问题是,通过使流量的两端处于不同的队列中,分组处理的顺序变得不可预知。 网卡,驱动程序,内核和Suricata上的时间差异将导致数据包进入的顺序高于网络。 这具体是关于两个交通方向之间的不匹配。 例如,Suricata跟踪TCP 3次握手。 由于这个时间问题,在客户端到服务器端已经开始发送数据之后,SYN / ACK只能被Suricata接收。 Suricata会将此流量视为无效。
AF_PACKET,PF_RING或NETMAP等支持的捕获方法都不能解决这个问题。 这将需要缓冲和分组重新排序,这是昂贵的。
要查看配置了多少个队列:
$ ethtool -l ens2f1
Channel parameters for ens2f1:
Pre-set maximums:
RX: 0
TX: 0
Other: 1
Combined: 64
Current hardware settings:
RX: 0
TX: 0
Other: 1
Combined: 8
有些网卡允许您将其设置为对称模式。 英特尔X(L)710卡在理论上可以做到这一点,但是驱动程序还没有能力做到这一点(工作正在努力解决这个问题)。 另一个解决的方法是设置一个特殊的“随机密钥”,使RSS对称。 见http://www.ndsl.kaist.edu/~kyoungsoo/papers/TR-symRSS.pdf(PDF)。
然而,在大多数情况下,最佳解决方案是将RSS队列的数量减少到1:
例:
Intel X710 with i40e driver:
ethtool -L $DEV combined 1
有些驱动程序不支持通过ethtool设置队列的数量。 在某些情况下,有一个模块加载时间选项。 阅读驱动程序文档的具体信息。
7.2.3 卸载
网卡,驱动程序和内核本身有各种技术来加速数据包的处理。 通常这些都将被禁用。
LRO / GRO导致将各种较小的数据包合并为大“超级数据包”。 这些将需要被禁用,因为他们打破了dsize关键字以及TCP状态跟踪。
可以在AF_PACKET和PF_RING上启用校验和卸载,但需要在PCAP,NETMAP等上禁用。
7.2.4 建议
阅读你的驱动文档! 例如。 对于i40e,RSS队列的ethtool更改可能会导致内核恐慌,如果做错了。
通用:将RSS队列设置为1或确保RSS散列是对称的。 禁用NIC卸载。
AF_PACKET:1个RSS队列并停留在内核<= 4.2或者确保你有> = 4.4.16,> = 4.6.5或> = 4.7。
例外:如果RSS是对称群集类型,可以使用“cluster_qm”将Suricata绑定到RSS队列。 禁用除rx / tx csum之外的NIC卸载。
PF_RING:1个RSS队列并使用群集类型“cluster_flow”。 禁用除rx / tx csum之外的NIC卸载。
NETMAP:1个RSS队列。 没有内置的基于流量的负载平衡,但'lb'工具可以有帮助。 另一个选择是使用'autofp'runmode。
例外:如果RSS是对称的,则负载平衡基于RSS哈希,并且可以使用多个RSS队列。 禁用所有NIC卸载。
