深包检验(DPI)全是为了理解网络流量 — — 最小了解网络流量(入侵检测系统或IDS),但更常见的是,这些天做点什么(入侵预防系统或IPS)。
第一部分DPI覆盖动机为DPI烤箱由Netronome驱动基准使用Snort算法Snort是一个免费开源程序实施IDS或IPS,并广泛使用由程序本身和正定期更新的多套规则组成众包规则令Snort有吸引力Snort安装可用新规则定期更新
Snort可用三种模式之一操作前两个简单显示包:一个屏幕上,另一个记录文件第三个模式最强:它可以在包中查找内容,然后任选地做点什么,如果寻找事物出现随网络被动使用时,Snort作用为IDS嵌入式时,像抽接线一样,Snort表现为IPS并可以阻塞、传递、创建或修改包
Snort键是规则体 既有规则体新规则体每项规则由页眉和一组选项组成页眉指定动作和流量信息供监控包使用(源码、目的地、端口等)。选项提供提示消息和内容定位,并可能限制查找内容
内容搜索大都基于正则表达式目前有超过4000规则创建计算重负,因为所有规则从理论上都需与所有包并发规则独立表示许多规则可并行运行使用独立内容检验引擎,每个引擎处理单独的规则
问题在于所有这些规则都要求搜索封装内存的包, 并不存在允许同时访问包的多端口多拷贝包耗时太长, 离开规则串行是唯一选项
处理方式是规则按层次构造并编译成树,这样树搜包时,树遍历,有效消除未实现规则并允许小数子规则运行
执行所有这些正则表达式检查仍然很重要, 在未来文章中,我们将研究加速工作的一个选项
更多Stort信息可用来.