Исходное сообщение
"Анализатор трафика основанный на Wireshark может обрабатыват..." Отправлено ReT, 19-Авг-09 01:12
Очень громкое заявление и очень далекое от действительности. Продукт обрабатывающий 10Гбит поток претендует на очень многое, вот nPulse и прыгает выше головы. Простая арифметика: предположим поймали всего 10Гб за минуту (в принципе реально у какого-нибудь телекома). Что с этим делать в pcap формате? Ведь реально это plain файл без какого-либо индекса. Сам Wireshark перечитывает его после каждого "чиха" пользователя, с реально большими трейсами в принципе работать невозможно.   Писал аналог(к сожалению закрытый), основной упор на работу в режиме реального времени. Заказчик решил обеспечить возможность подключения шарка как внешнего анализатора(протоколов уж больно много знает). Извращались как могли, в конце концов даже диссекторы(декодируют протоколы) выдернули и попытались использовать только их. 2000 пакетов/сек --- просто предел. Соответственно в реальном времени строить сущности более высоких уровней(сессии, вызовы) в принципе нереально, а кого сейчас заинтересует возможность видеть 10Гбит пакетов в секунду? Кого сейчас вообще пакеты волнуют? Пропускной способности шарка не хватит и для 1Гбит/сек. Продукт с громким названием сохраняет часть проходящего трафика(низкоуровневые быстрые фильтры у них точно есть) нарезая его на разумного размера pcap файлы, которые впоследствии могут быть открыты шарком. Ни о какой связанности данных, детальной информации и режиме реального времени речь не идет. Поддержка современного стандарта да огромный диск вот и все технологии. Высокопроизводительный сканер будет довольствоваться образцами до 100Мб размером и анализировать их с очень заметными задержками. Прошлый век с современным бантиком, одним словом.