n2disk?是網(wǎng)絡(luò)流量記錄器應(yīng)用程序。使用n2disk?，您可以從實(shí)時網(wǎng)絡(luò)接口以幾Gigabit速率（在足夠的硬件上以10 Gigabit / s以上）捕獲全尺寸的網(wǎng)絡(luò)數(shù)據(jù)包，并將其寫入文件中而不會丟失任何數(shù)據(jù)包。n2disk?旨在將文件長時間寫入磁盤，您必須指定在執(zhí)行過程中可以寫入的不同文件最大數(shù)量，如果n2disk?達(dá)到最大文件數(shù)量，它將開始回收文件從最舊的一個。這樣，您可以在固定的時間窗口中完整了解流量，并提前知道所需的磁盤空間量。
      n2disk?使用行業(yè)標(biāo)準(zhǔn)的PCAP文件格式將數(shù)據(jù)包轉(zhuǎn)儲到文件中，因此可以將輸出結(jié)果輕松地與現(xiàn)有的第三方甚至開放/源分析工具（例如Wireshark）集成。
      n2disk?的設(shè)計和開發(fā)主要是因?yàn)榇蠖鄶?shù)網(wǎng)絡(luò)安全系統(tǒng)都依賴于捕獲完整大小的數(shù)據(jù)包，因?yàn)槿魏螖?shù)據(jù)包都可能導(dǎo)致了攻擊或包含了我們試圖發(fā)現(xiàn)的問題。Netflow信息更易于管理，并且需要存儲的磁盤空間更少，但是在某些情況下，例如深度數(shù)據(jù)包檢查分析或受控的流量再生，它并沒有用。
      n2disk?可以有效地執(zhí)行許多活動，其中包括：
      通過提供諸如Snort之類的專用工具來進(jìn)行離線網(wǎng)絡(luò)數(shù)據(jù)包分析。
      重建特定的通信流或網(wǎng)絡(luò)活動。
      將先前捕獲的流量復(fù)制到其他網(wǎng)絡(luò)接口。
      
      n2disk?的主要功能
      
      當(dāng)前的n2disk?版本遠(yuǎn)不只是一個簡單的“從數(shù)據(jù)包到磁盤”的應(yīng)用程序。n2disk?的部分功能包括：
      完全可由用戶配置
      使用標(biāo)準(zhǔn)PCAP文件格式（常規(guī)和納秒級）
      線速64字節(jié)數(shù)據(jù)包到磁盤記錄
      支持Intel 1/10 / 40Gbit商品適配器（Intel和Myricom）和FPGA加速的NIC（Accolade Technology， Napatech和Silicom / Fiberblaze）
       40 Gbit連續(xù)數(shù)據(jù)包到磁盤，具有FPGA加速的NIC（以及足夠的存儲子系統(tǒng)）
      BPF篩選器支持（使用與流行的tcpdump工具相同的格式）從記錄過程中過濾掉不需要的網(wǎng)絡(luò)數(shù)據(jù)包
      優(yōu)化的類似于BPF的過濾器支持，可以更快地替換BPF過濾器（支持BPF語法的子集），該過濾器可用于數(shù)據(jù)包捕獲和捕獲后過濾
      多核支持。n2disk?在設(shè)計時考慮了多核架構(gòu)。它至少使用2個線程（一個用于數(shù)據(jù)包捕獲，一個用于磁盤寫入），并且可以使用多個線程進(jìn)一步并行化數(shù)據(jù)包捕獲。線程之間的通信已經(jīng)過仔細(xì)優(yōu)化
      PF_RING加速。n2disk?利用標(biāo)準(zhǔn)PF_RING和PF_RING ZC提供的數(shù)據(jù)包捕獲加速。
      直接IO磁盤訪問。n2Disk?采用直接IO方式訪問磁盤，以獲得最大的磁盤寫吞吐量。
      實(shí)時索引。n2disk?能夠在數(shù)據(jù)包捕獲過程中動態(tài)生成索引。可以使用類似于BPF的語法查詢索引，以在指定的時間間隔內(nèi)快速檢索感興趣的數(shù)據(jù)包。除了每個轉(zhuǎn)儲文件索引之外，n2disk?還可以生成時間軸，這是一種按時間順序保存整個捕獲流量的方法。使用n2disk?隨附的實(shí)用程序，可以在時間軸上查詢在給定時間間隔內(nèi)屬于整個轉(zhuǎn)儲集的特定數(shù)據(jù)包。
      PCAP和索引壓縮。n2disk?可以選擇動態(tài)壓縮PCAP文件和索引，從而優(yōu)化I / O吞吐量和磁盤空間。