n2disk?是網(wǎng)絡(luò)流量記錄器應(yīng)用程序。使用n2disk?，您可以從實(shí)時(shí)網(wǎng)絡(luò)接口以幾Gigabit速率（在足夠的硬件上以10 Gigabit / s以上）捕獲全尺寸的網(wǎng)絡(luò)數(shù)據(jù)包，并將其寫入文件中而不會(huì)丟失任何數(shù)據(jù)包。n2disk?旨在將文件長(zhǎng)時(shí)間寫入磁盤，您必須指定在執(zhí)行過(guò)程中可以寫入的不同文件最大數(shù)量，如果n2disk?達(dá)到最大文件數(shù)量，它將開(kāi)始回收文件從最舊的一個(gè)。這樣，您可以在固定的時(shí)間窗口中完整了解流量，并提前知道所需的磁盤空間量。
      n2disk?使用行業(yè)標(biāo)準(zhǔn)的PCAP文件格式將數(shù)據(jù)包轉(zhuǎn)儲(chǔ)到文件中，因此可以將輸出結(jié)果輕松地與現(xiàn)有的第三方甚至開(kāi)放/源分析工具（例如Wireshark）集成。
      n2disk?的設(shè)計(jì)和開(kāi)發(fā)主要是因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)安全系統(tǒng)都依賴于捕獲完整大小的數(shù)據(jù)包，因?yàn)槿魏螖?shù)據(jù)包都可能導(dǎo)致了攻擊或包含了我們?cè)噲D發(fā)現(xiàn)的問(wèn)題。Netflow信息更易于管理，并且需要存儲(chǔ)的磁盤空間更少，但是在某些情況下，例如深度數(shù)據(jù)包檢查分析或受控的流量再生，它并沒(méi)有用。
      n2disk?可以有效地執(zhí)行許多活動(dòng)，其中包括：
      通過(guò)提供諸如Snort之類的專用工具來(lái)進(jìn)行離線網(wǎng)絡(luò)數(shù)據(jù)包分析。
      重建特定的通信流或網(wǎng)絡(luò)活動(dòng)。
      將先前捕獲的流量復(fù)制到其他網(wǎng)絡(luò)接口。
      
      n2disk?的主要功能
      
      當(dāng)前的n2disk?版本遠(yuǎn)不只是一個(gè)簡(jiǎn)單的“從數(shù)據(jù)包到磁盤”的應(yīng)用程序。n2disk?的部分功能包括：
      完全可由用戶配置
      使用標(biāo)準(zhǔn)PCAP文件格式（常規(guī)和納秒級(jí)）
      線速64字節(jié)數(shù)據(jù)包到磁盤記錄
      支持Intel 1/10 / 40Gbit商品適配器（Intel和Myricom）和FPGA加速的NIC（Accolade Technology， Napatech和Silicom / Fiberblaze）
       40 Gbit連續(xù)數(shù)據(jù)包到磁盤，具有FPGA加速的NIC（以及足夠的存儲(chǔ)子系統(tǒng)）
      BPF篩選器支持（使用與流行的tcpdump工具相同的格式）從記錄過(guò)程中過(guò)濾掉不需要的網(wǎng)絡(luò)數(shù)據(jù)包
      優(yōu)化的類似于BPF的過(guò)濾器支持，可以更快地替換BPF過(guò)濾器（支持BPF語(yǔ)法的子集），該過(guò)濾器可用于數(shù)據(jù)包捕獲和捕獲后過(guò)濾
      多核支持。n2disk?在設(shè)計(jì)時(shí)考慮了多核架構(gòu)。它至少使用2個(gè)線程（一個(gè)用于數(shù)據(jù)包捕獲，一個(gè)用于磁盤寫入），并且可以使用多個(gè)線程進(jìn)一步并行化數(shù)據(jù)包捕獲。線程之間的通信已經(jīng)過(guò)仔細(xì)優(yōu)化
      PF_RING加速。n2disk?利用標(biāo)準(zhǔn)PF_RING和PF_RING ZC提供的數(shù)據(jù)包捕獲加速。
      直接IO磁盤訪問(wèn)。n2Disk?采用直接IO方式訪問(wèn)磁盤，以獲得最大的磁盤寫吞吐量。
      實(shí)時(shí)索引。n2disk?能夠在數(shù)據(jù)包捕獲過(guò)程中動(dòng)態(tài)生成索引。可以使用類似于BPF的語(yǔ)法查詢索引，以在指定的時(shí)間間隔內(nèi)快速檢索感興趣的數(shù)據(jù)包。除了每個(gè)轉(zhuǎn)儲(chǔ)文件索引之外，n2disk?還可以生成時(shí)間軸，這是一種按時(shí)間順序保存整個(gè)捕獲流量的方法。使用n2disk?隨附的實(shí)用程序，可以在時(shí)間軸上查詢?cè)诮o定時(shí)間間隔內(nèi)屬于整個(gè)轉(zhuǎn)儲(chǔ)集的特定數(shù)據(jù)包。
      PCAP和索引壓縮。n2disk?可以選擇動(dòng)態(tài)壓縮PCAP文件和索引，從而優(yōu)化I / O吞吐量和磁盤空間。