23.1. Endace DAG

Suricata 提供对 Endace DAG 卡的原生支持。这意味着 Suricata 可以直接使用 libdag 接口，而无需通过 libpcap 封装层（该方式同样可用）。

操作步骤：

配置启用 DAG 支持：

./configure --enable-dag --prefix=/usr --sysconfdir=/etc --localstatedir=/var
make
sudo make install

配置结果示例如下：

Suricata 配置:
  AF_PACKET 支持:                       否
  PF_RING 支持:                         否
  NFQueue 支持:                         否
  IPFW 支持:                            否
  DAG 启用:                             是
  Napatech 启用:                       否

启动命令：

suricata -c suricata.yaml --dag 0:0

成功启动输出示例：

[5570] 2012/10/7 -- 13:52:30 - (source-erf-dag.c:262) <信息> (ReceiveErfDagThreadInit) -- 已挂载并启动流: 0 位于 DAG: /dev/dag0
[5570] 2012/10/7 -- 13:52:30 - (source-erf-dag.c:288) <信息> (ReceiveErfDagThreadInit) -- 开始处理来自流: 0 的数据包 位于 DAG: /dev/dag0