Surciata源码分析之IpsNFQ模式（1）

最新推荐文章于 2024-05-27 18:47:46 发布

原创

最新推荐文章于 2024-05-27 18:47:46 发布 · 7k 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#引擎 #多线程 #工具 #网络 #c

本文主要分析Suricata网络入侵检测引擎的IpsNFQ模式，特别是其三种工作模式：Auto模式、AutoFP模式和Worker模式。 Suricata是多线程的，并且与Barnyard工具兼容。通过对IpsNFQ模式的深入理解，可以更好地掌握其他模式的工作原理。

最近看了一下suricata-1.2.1的源代码，加之之前在网上没有搜到关于suricata的分析资料，所以就把看源码时的一些笔记整理了一下，发到网上，供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客，不足之处还望看到此文章的网友见谅！

先还是进行简要的介绍一下，Suricata 是一个网络入侵检测和阻止引擎，由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多线程的，内置 IPv6 的支持，可加载预设规则，支持 Barnyard 和 Barnyard2 工具。

由于我只对Suricata的IPS模式感兴趣，所以就只看了IpsNFQ的源代码部分，但个人觉得，只要把一种模式看懂了，其它的模式理解起来就是顺其自然的事情了，各模式之间最主要的不同就是数据包的来源不同。下面就开始对suricata的IpsNFQ模式进行分析。

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fraser

关注关注

4
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Surciata源码分析之IpsNFQ模式（2）

Firedb的专栏

05-19

3682

2. 各模块功能分析 Receive：从NFQUEUE中接收数据包，并将封装在Packet结构中，然后放入下一个缓冲区。 Decode：对数据包进行解码，主要是对数据包头部信息进行分析并保存在Packet结构中。 StreamTCP：对数据包进行TCP流重组。 Detect：检测数据包是否包含入侵行为。 Verdict：对检测后

suricata源码解读-事务日志

最新发布

唐装鼠的主页

09-15

179

遍历前面添加到OutputPacketLogger *list的日志模块，调用日志模块对应的线程模块的线程初始化函数，对日志模块进行初始化。根据配置选择加载输出模块，调用SetupOutput将输出模块添加到OutputPacketLogger *list;遍历所有事务日志模块OutputTxLogger *list，找到事务协议对应的日志模块，调用日志输出函数输出日志。注册协议的事务日志模块，存储到output_modules。注册协议的日志线程初始化和销毁函数。

参与评论您还未登录，请先登录后发表或查看评论

suricata 3.1 源码分析33 （FlowWorker处理流程2 - FlowHandlePacket）

superbfly的专栏

12-27

2565

void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r

入侵检测引擎之 Suricata 源码剖析

梦想专栏

07-06

5146

从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。通过本篇文章，您将了解以下知识点：收包和解包线程。 Flow-Worker 线程角色。队列负载均衡。 Detect 线程。应用协议解析层。 Output 输出层。代码框架优化。

Suricata源码解析-开启从小白到小白必经之路

qq_54078539的博客

05-27

656

Suricata源码分析

suricata源码解析

唐装鼠的主页

09-21

1096

初始化suricata实例：程序名设置为程序文件名，其他变量复位。

Suricata之源代码(一)

qianligaoshan的专栏

04-09

3171

在介绍Suricata源代码之前，大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻，回调函数就好像鞭炮的引线一样，将所有的小的鞭炮连接起来，连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct

suricata 3.1 源码分析3

superbfly的专栏

08-30

3005

继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式，字面上是这么理解。反正这个模式只有IPS和IDS两种，如果不清楚可以上网查。我这里就说一下主要区

Suricata之源代码(三)

qianligaoshan的专栏

04-13

2934

这次我

开源IDS suricata源码分析（一、框架）

m0_50638175的博客

09-12

2898

Suricata框架 1. 分析框架设计原则分析Suricata框架之前，我先假定了一些框架设计原则，属个人总结。Suricata定位高性能的网络IDS，IPS和网络安全监视引擎。其框架设计会要考虑到：支持高速数据包捕获支持链路层/网络层/传输层协议解码维护网络层会话/传输层会话支持网络层分片重组/传输层分段重组支持常见应用层协议的识别和解析支持对常见应用协议的敏感字段进行规则匹配支持对外输出从流量中还原出的有价值的信息支持网络流量落盘存储支持流量过滤支持条件转发输入输出/协议识别

Suricata之源代码(二)

qianligaoshan的专栏

04-11

1956

在前面我

suricata:suricata原始码分析和读书笔记

03-23

苏里卡塔 suricata原始码分析和读书笔记

suricata 3.1 源码分析36 （dns解析获取相关内容）

superbfly的专栏

03-02

1696

在app-layer-dns-udp.c文件的DNSUDPRequestParse函数中调用DNSStoreQueryInState函数，该函数在app-layer-dns-common.c文件中。DNSStoreQueryInState中会取dns信息，包括type, class, name(可以是要查询的host)fqdn指向dns中的name，fqdn_len为name的长度。附dns正文结...

开源IDS suricata源码分析（协议解析添加流程）

m0_50638175的博客

09-28

7615

Suricata新增协议解析个人总结，新增协议解析分3步进行生成新协议的解析模板修改协议解析器实现修改输出模块实现 1. 创建协议解析模板对于新增协议解析，Suricata有脚本可以自动生成框架代码patch，示例解析器，示例输出模块。一般在使用脚本生成模板后，仅需修改解析器实现和输出模块实现即可。创建pop3协议的解析模板： python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建：（具体内容见附件）框架代码文件文件名修改内

suricata 源码详细讲解

化茧成蝶007

08-31

1773

从main函数开始 https://my.oschina.net/openadrian/blog/184621

suricata的Decode协议解码流程源码分析

每天分享一个编程小知识

05-22

1082

一般报文的解码流程比较简单，先确定报文的起始位置和总长度，这两个值在ReceiveDPDKLoop中PacketSetData函数，将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK，解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置，并且记录相关字段，最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。

开源IDS suricata 源码分析（零、开篇）

m0_50638175的博客

09-12

1337

背景：记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源，成熟，快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测（IDS），内联入侵防御（IPS），网络安全监视（NSM）和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量，并具有强大的Lua脚本支持来检测复杂的威胁。通过YAML和JSON之类的标准输入和输出格式，与现有SIEM，Splunk，Logstash / El

suricata 3.2 源码分析（IP数据包分片重组流程）

superbfly的专栏

07-11

3648

在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢？下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的，具体位置是在数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码： /* If a fragment, pa

suricata 源码分析之ringbuffer（环形缓冲区）

guoguangwu的专栏

03-19

1737

环形缓冲区也就是ringbuffer,其性能相对于异步队列是非常高效的，原因： 1)无锁; 2)cpu cache 友好;3) 内存不会疯涨。当然ringbuffer也有其缺点(也是优点，不会出现内存暴增)，就是其长度是固定的，如果满了无法再往里面放入数据，而异步队列没有这个限制，但是有可能因为并发不够，处理不过来，队列太长导致内存被大量占用，程序性能越来越差。 ...