QNSM安装与实战：DPDK驱动的网络安全监测

"iqi/qnsm+dpdk安装" QNSM（IQIYINetworkSecurityMonitor）是一款基于DPDK开发的旁路全流量网络安全监控引擎，特别适用于DDoS检测和IDPS（入侵检测和防御系统）场景。该系统设计为高性能和实时性，能够有效地在IDC环境中对多种攻击类型进行防护，包括SYN、ACK、RST、FIN、SYNACK、ICMP、UDP FLOOD以及各种反射攻击。QNSM不仅提供了全流量检测，还具备实时多维度聚合数据的能力，确保即使在攻击事件未被检测到的情况下，也能通过流采样数据进行fallback机制。 DDoS检测是QNSM的核心功能之一，它能够处理IPv4和IPv6流量，支持多种类型的DDoS攻击，并且具备以下特性： 1. 全流量检测：可部署在数据中心环境，监控所有进出流量。 2. 实时多维度聚合数据：快速分析和响应网络活动。 3. 流采样：在检测不到攻击时提供备用数据处理策略。 4. 聚合数据输出控制：允许用户随时启动或停止聚合数据的输出。 5. JSON格式输出：便于进一步的数据分析和处理。 6. DFI/DPI机制：针对UDP反射攻击，如MEMCACHE、TFTP、CHARGEN、CLDAP和QOTD等。 7. 攻击数据包记录：在事件过程中捕获并保存攻击数据包为pcap文件。 IDPS模块基于Suricata，并且进行了优化，增加了lib化编译安装和事件以Kafka方式输出的功能，从而提高事件处理速度和便于后续分析。QNSM的架构由多个功能模块组成： 1. 基础模块：包含基础的PORT、CPU消息、配置文件管理、表项管理和调度框架。 2. 流水线模块： - SESSM：负责IPv4和IPv6数据包解析、采样FLOW数据聚合、应用层DFI解析和ACL策略下发。 - SIP_AGG：执行DDoS攻击源聚合和输出。 - VIP_AGG：进行DDoS VIP自学习、数据聚合和输出。 - DUMP：保存DDoS攻击数据包为pcap文件。 - EDGE：作为broker，将多维数据输出到KAFKA。 - DETECT：执行IDPS检测任务。 3. 控制面和工具：包括Master组件，负责接收和分发攻击事件策略，以及dump数据包、攻击源信息等。 4. IDPS管理服务：FM/FR用于IDPS资源管理和回收，CS提供IDPS统计信息。 测试环境采用了CentOS 7.2.1511操作系统，3.10.0-327.el7.x86_64内核，Intel Xeon E5-2650v4处理器，以及Intel 82599E网卡。这样的配置确保了QNSM在实际部署中的稳定性和性能。 总结来说，QNSM是一个强大的网络安全监控解决方案，结合了DPDK的高速处理能力与Suricata的入侵检测功能，为数据中心提供了全面的保护。其设计的灵活性和模块化结构使得它能够适应不同的网络环境和安全需求。通过详细的安装指南和问题解决方案，用户可以在CentOS 7的不同版本上顺利部署和运行QNSM。