<br><br>On Saturday, May 28, 2016, Andreas Herz <<a href="mailto:andi@geekosphere.org">andi@geekosphere.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 16/05/16 at 12:44, Vishal Kotalwar V wrote:<br>
> Hi,<br>
><br>
> I am planning to run suricata in Intel's DPDK framework. I intend to<br>
> run as an IPS so probably I need to replace NFQ calls with DPDK<br>
> library calls for packet receive and verdict out along with some<br>
> memory management related calls; that is my top level </blockquote><div><br></div><div>Well, if you are really serious about that, you probably know compat_netmap exista, and it's functional. You probably know Suricata runs IPS mode under netmap framework.</div><br><div><a href="http://dpdk.readthedocs.io/en/v16.04/sample_app_ug/netmap_compatibility.html">http://dpdk.readthedocs.io/en/v16.04/sample_app_ug/netmap_compatibility.html</a><br></div><div><br></div><div>So a first move in the direction to actually have it running In DPDK mode with DPDK performance while reusing existing code would be to leverage on DPDK compat layer with netmap. You wont regret. I personally adjusted a couple netmap applications to work like that and it saves lota time to find out the performance difference and investigate if time should be invested on DPDK when you already have an application running in an other fast packet processing framework like pf_ring or netmap.</div><div><br></div><div>My 2c</div><div><br></div><div><br></div><br><div><br></div><div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
> I know, this is not in Suricata's current road-map but would like to<br>
> know if anybody has tried this or similar thing before. Your<br>
> experience can help me a great way. Any advice or pointers in the<br>
> direction are also welcome.<br>
<br>
I talked to a friend who has already done some DPDK related work.<br>
It seems to be a lot of work with the API and Intel specific parts.<br>
<br>
Since we have some Intel people working on hyperscan, there might<br>
someone with more DPDK background knowledge and how it would fit into<br>
Suricata.<br>
<br>
><br>
> Thanks & regards, Vishal V. Kotalwar<br>
<br>
> _______________________________________________<br>
> Suricata IDS Users mailing list: <a href="javascript:;" onclick="_e(event, 'cvml', 'oisf-users@openinfosecfoundation.org')">oisf-users@openinfosecfoundation.org</a><br>
> Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
> List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
> Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a><br>
<br>
<br>
--<br>
Andreas Herz<br>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="javascript:;" onclick="_e(event, 'cvml', 'oisf-users@openinfosecfoundation.org')">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
Suricata User Conference November 9-11 in Washington, DC: <a href="http://oisfevents.net" target="_blank">http://oisfevents.net</a></blockquote>