snort与daq

简介

    snort从2.9.0版本开始引入了daq(packet acquisition), 该模块其实是一个抽象层专门为报文处理服务。

分析

    以往的snort以下图所示,在报文获取上与主体代码混在一块儿形成了如下问题：

1. 分层不明显，不便于改写

2. 只能编译控制中决定报文获取与处理方式，对于同一个平台只能保留一种处理方式。

 

    加入daq后，将报文获取的具体细节和主体代码分离，有以下好处

1. 层次清晰便于继续开发

2. 报文获取的模块能够保留多个，snort能够根据用户配置以及具体平台进行动态加载。并将从配置文件中获取的参数传入。