Интерпретация следов WPR в попытке улучшить пропускную способность сети

Пытаясь проанализировать пропускную способность 3-стороннего приложения, мы собрали трассировку WPR на двух системах. В одной из них включена система обнаружения вторжений Symantecs, в другой - нет.

Следующие наблюдения за системой с включенной системой обнаружения вторжений

• Много NDIS.SYS - ndisInterruptDpc вызовы функций, которые принимают > 100µs,
  За период 10s: 1.966 фрагменты из 17.273 took длиннее чем 100µs,
  _{Microsoft рекомендует использовать DPC не более 100 микросекунд.}

• Microsoft-Windows-TCPIP провайдер показывает все использует TcpipSendSlowPath,
  Я пытался читать по медленным / быстрым путям, но на самом деле не знал, что с этим делать. Все, что я могу найти об этом, - о маршрутизаторах или выделенном оборудовании, и я сомневаюсь, что ETW сможет получить от них какие-либо данные _{(если они не передаются обратно в запрос / ответ где-нибудь?)}.

• Stacks представление показывает пакеты, проходящие через IDSvia64.sys который является драйвером Symantecs для проверки пакетов. Там намного больше распределения и освобождения Pool память из-за этого.

• psping тесты на пропускную способность в 10 раз медленнее.

_{С учетом сказанного: воспринимаемая производительность 3-го приложения на обоих серверах сопоставима. Единственное ощутимое отличие на сегодняшний день - тесты psping намного хуже в системе с IDS. Кондрам для меня...}

Вопросы

• Как найти виновника того, что он потратил много времени на DPC? Я подозреваю, что IDS вовлечен, но я не могу связать обработку DPC с IDS (или чем-то еще).
• Я хотел бы знать, что на самом деле означает "медленный путь", какое влияние это может оказать на производительность и как решить его, если это возможно / необходимо.

редактировать

перейдя по ссылке, предоставленной @Brian, так выглядит наша продолжительность DPC в системе с включенной IDS _{(зеленый)} и в системе без IDS _(синий)

• в течение 10 с
• выполнение задачи, которая, как известно, займет некоторое время

Я довольно уверен, что IDS ответственен за более длительную работу DPC. Если кто-нибудь может дать несколько указаний по второй части вопроса о количестве TcpipSendSlowPath Там тоже может быть что-то стоящее.

Обратите внимание на тот факт, что количество DPC в системе с IDS намного больше.

• Самым простым объяснением этого является то, что система в то время использовалась другими _{(трудно найти слот с минимальной активностью)}
• Я могу себе представить, что настройки сетевого адаптера играют в этом роль, но я не знаю, где это искать _{(в зависимости от размера буфера, пропускной способности,... запускается больше ISR и DPC)}
• другие (?) ...