发布时间：2013-01-08 13:34:15

nfnetlink的子系统 本文档的Copyleft归yfydz所有，使用GPL发布，可以自由拷贝，转载，转载时请保持文档的完整性，严 禁用于任何商业用途。msn: yfydz_no1@hotmail.com来源：http://yfydz.cublog.cn 1. 前言 在linux-2.6.1*版本的内核中nfnetlink正式纳入了官方发布版本中，nfnetlink通过使用子系统扩展了 原来的ip_queue的功能，使之可以处理不同类型的数据。 以下代码的内核版本为2.6.19.2。 2. 数据结构 /* include/linux/netfilter/nfnetlink.......【阅读全文】

发布时间：2012-12-27 11:16:57

上一篇文章讲到了libpcap 捕获数据包，尤其在千兆网的条件下，大量的丢包，网上搜索好久，大概都是PF_PACKET +MMAP，NAPI，PF_RING之类的方法,我对PF_RING+libpcap进行实验,发现千兆网条件下，捕获数据包的性能很好，几乎不丢包，Linux Fedora 14（本人实验的环境为：ubuntu11.04）实验环境搭配流程如下：1)下载PF_RING:svn co https://svn.ntop.org/svn/ntop/trunk/PF_RING/ 2)下载完后，在PF_RING/kernel下面make编译pf_ring，生成pf_ring.ko 3）ins......【阅读全文】

发布时间：2012-12-25 18:44:27

在前文《pf_ring透明工作模式(transparent_mode)原理》和《pf_ring quick_mode原理》文章中介绍了pf_ring的透明模式和快速模式的原理。按照前文的介绍，transparent_mode=0,1,2时，包处理效率依次升高。笔者在压力测试时发现：开启quick_mode（insmod pf_ring.ko quick_mode=1）的情况下，transparent_mode=0和2时都会出现CPU软中断利用率过高的情况。系统基本配置： redhat 6.1,  linux 2.6.32， cpu 24核， mem48G， intel 82599 1......【阅读全文】

发布时间：2012-12-25 11:43:01

文档http://wenku.baidu.com/view/5e351c49e45c3b3567ec8b5b.html提及http GET/POST分成多个包影响响应速度。   看一个例子（服务器端抓包结果）：   1353999809.500072 client:51912 server:80 seq:3156694267 ack:0 len:0 win:32768 [S] MSS 1460  TCPOPT_NOP  wscale: 4  TCPOPT_NOP  TCPOPT_NOP  SACK permitted......【阅读全文】

发布时间：2012-12-21 23:57:45

抓包方法：   可以在服务器端抓，也可以在客户端抓，这里选择是在图片cache服务器上抓取的   tcpdump -S -i eth1 -nn -vvv  port 80 -w test.pcap   抓包结果与分析方法： 将pcap结果用wireshark打开。     cublog不知道怎么设置图片大小，请单机图片放大观看。   同一个tcp stream里有多个GET请求，表明这三个HTTP GET请求和响应复用了同一个TCP长连接。   如果服务器端的长连接功能是开启的，应......【阅读全文】