Suricata文档——第七章性能

Posted 2023-05-04

参考技术A

Suricata由多个称为线程，线程模块和队列的“构建块”组成。 线程就像一个在计算机上运行的进程。 Suricata是多线程的，所以多个线程一次处于活动状态。
线程模块是功能的一部分。 一个模块用于解码数据包，另一个模块是检测模块，另一个模块是输出模块。 一个数据包可以被多个线程处理。 数据包将通过队列传递到下一个线程。 数据包一次只能由一个线程处理，但是引擎一次可以处理多个数据包。 （请参阅Max-pending-packets）一个线程可以有一个或多个线程模块。 如果他们有更多的模块，他们只能一次活动。 线程，模块和队列排列在一起的方式称为Runmode。

您可以从几个预定义的运行模式中选择一个运行模式。 命令行选项-list-runmodes显示所有可用的运行模式。 所有运行模式都有一个名称：auto，single，autofp。 最重要的任务是检测; 一个数据包将被检查数千个签名。
默认运行模式的示例：

在pfring模式下，每个流程在运行模式中遵循其自己的固定路线。

为了获得最佳表现，Suricata将需要以“worker”模式运行。这实际上意味着有多个线程，每个线程运行一个完整的数据包管道，每个线程都从捕获方法接收数据包。这意味着我们依靠捕获方法来将数据包分发到各个线程上。其中一个关键的方面就是Suricata需要以正确的顺序在同一个线程中获取流程的两个方面。

AF_PACKET和PF_RING捕获方法都有选择“集群类型”的选项。这些默认为\'cluster_flow\'，它指示捕获方法按流（5元组）进行散列。这个散列是对称的。
Netmap没有内置的cluster_flow模式。可以使用“lb”工具单独添加：https：//github.com/luigirizzo/netmap/tree/master/apps/lb

在几乎所有现代NIC的多队列NIC上，都需要考虑RSS设置。

接收端缩放(RSS)是网卡使用的一种技术，用于将传入流量分配到网卡上的各个队列中。 这是为了提高性能，但重要的是要认识到它是为正常流量设计的，而不是针对IDS数据包捕获的情况。 RSS使用哈希算法来将传入流量分配到各个队列中。 这个散列通常不是对称的。 这意味着当接收到一个流的双方时，每一方都可能以不同的队列结束。 可悲的是，在部署Suricata时，这是使用跨度端口或水龙头(Trap)时的常见情况。

这里的问题是，通过使流量的两端处于不同的队列中，分组处理的顺序变得不可预知。 网卡，驱动程序，内核和Suricata上的时间差异将导致数据包进入的顺序高于网络。 这具体是关于两个交通方向之间的不匹配。 例如，Suricata跟踪TCP 3次握手。 由于这个时间问题，在客户端到服务器端已经开始发送数据之后，SYN / ACK只能被Suricata接收。 Suricata会将此流量视为无效。
AF_PACKET，PF_RING或NETMAP等支持的捕获方法都不能解决这个问题。 这将需要缓冲和分组重新排序，这是昂贵的。

要查看配置了多少个队列：

有些网卡允许您将其设置为对称模式。 英特尔X（L）710卡在理论上可以做到这一点，但是驱动程序还没有能力做到这一点（工作正在努力解决这个问题）。 另一个解决的方法是设置一个特殊的“随机密钥”，使RSS对称。 见 http://www.ndsl.kaist.edu/~kyoungsoo/papers/TR-symRSS.pdf （PDF）。

然而，在大多数情况下，最佳解决方案是将RSS队列的数量减少到1：
例：

有些驱动程序不支持通过ethtool设置队列的数量。 在某些情况下，有一个模块加载时间选项。 阅读驱动程序文档的具体信息。

网卡，驱动程序和内核本身有各种技术来加速数据包的处理。 通常这些都将被禁用。
LRO / GRO导致将各种较小的数据包合并为大“超级数据包”。 这些将需要被禁用，因为他们打破了dsize关键字以及TCP状态跟踪。
可以在AF_PACKET和PF_RING上启用校验和卸载，但需要在PCAP，NETMAP等上禁用。

阅读你的驱动文档！ 例如。 对于i40e，RSS队列的ethtool更改可能会导致内核恐慌，如果做错了。

通用：将RSS队列设置为1或确保RSS散列是对称的。 禁用NIC卸载。

AF_PACKET ：1个RSS队列并停留在内核<= 4.2或者确保你有> = 4.4.16，> = 4.6.5或> = 4.7。
例外：如果RSS是对称群集类型，可以使用“cluster_qm”将Suricata绑定到RSS队列。 禁用除rx / tx csum之外的NIC卸载。

PF_RING ：1个RSS队列并使用群集类型“cluster_flow”。 禁用除rx / tx csum之外的NIC卸载。

NETMAP： 1个RSS队列。 没有内置的基于流量的负载平衡，但\'lb\'工具可以有帮助。 另一个选择是使用\'autofp\'runmode。
例外：如果RSS是对称的，则负载平衡基于RSS哈希，并且可以使用多个RSS队列。 禁用所有NIC卸载。

软件测试初学记录——第七章

网站测试囊括许多领域，包括配置测试、兼容性测试、易用性测试、文档测试、安全测试、

性能测试、数据库驱动等，如果网站面向全球还会包括本地化测试。

网页是一个有文字、图片、声音、视频和超级链接组成的文档，由HTML（超文本标记语言）创建。

在测试时，可以从大到小、从上到下（从下到上）、从整体到局部等方式入手。（其它测试也可引用相应方式）

网页部分特性：

1、不同大小、字体和颜色的文字

2、图片

3、超级链接文字和图片

4、广告

5、文本选择框

6、用户输入数据的区域

对网页进行黑盒测试：

1、文本：检查核实页面术语、内容、题目素材

2、超级链接：超链醒目明显，鼠标指针经过是否发生变化

3、图片：图片加载是否完整，图文交织的区域是否正常

4、表单：用于输入和选择信息的文本框、列表框等

对网页进行配置和兼容性测试：

1、硬件平台

2、浏览器软件和版本

3、浏览器插件

4、浏览器选项

5、视频分辨率和色深

6、文字大小

7、调制解调器速率

对网页进行易用性测试：

1、加载和下载时间

2、导航支持

3、网站地址（简明易记）

4、链接颜色显示（点击过和未点击过的链接颜色是否容易分辨）