IDS中抓包(Capture)的问题

:     关于IDS中抓包(Capture)的问题，我的一些看法是：
: 　　1.因为什么丢包？
: 　　也许这个问题很好回答，刚才我看到回复这个帖子中就提到了"处理不过来就丢包"，
: 这个没有问题，但是究竟是谁处理不过来呢？大家可能对于这个问题理解的比较模糊，我
: 觉得应该是网卡处理不过来，确切的说，应该是网卡、与网卡相关的驱动以及内核中的中
: 断处理部分处理不过来
不完全对.
实际上不是网络中断这不分的瓶颈.而是网络协议解析和patternpatch
这部分特别消耗CPU资源.
: 。
: 　　2.如何减少丢包的问题发生？
: 　　我觉得在网络流量很大的情况下，不丢包是不可能的，但是如果选用好一些得网卡(
: 比如3com的)，优化网卡在特定系统下的驱动程序，都可以在一定程度上减少丢包的问题
: 发生。
: ...................
你说的这些都不是关键性的改进.关键性的改进就是刚才我说的那两个方面:
网络芯片;
pattern match芯片;
再加上load balancing.
最后,balckICE的技术领先并不是在sniffer技术上,他的技术领先(2000年)
是因为他提出了多层协议解析(protocol analysis),以及基于之上的bin 
search,这些现在都不算什么了.真正的高性能IDS已经不是什么sniffer了,
blackICE的硬件技术一点也不牛,他们用的是Intel的千兆卡,评测在
600兆的时候就已经废掉了,而且是单向的.