suricata 3.1 源码分析19 (数据包获取)

最新推荐文章于 2023-06-05 10:24:01 发布
最新推荐文章于 2023-06-05 10:24:01 发布
阅读量2.8k 收藏 2
点赞数
分类专栏: suricata suricata源码分析 文章标签: 函数 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52618448
版权

初始化完成后,TmThreadsSlotPktAcqLoop函数将进入一个while循环,调用slot的PktAcqLoop函数获取并处理数据包。对应的模块函数原型为:
TmEcode ReceivePcapLoop(ThreadVars *tv, void *data, void *slot)
其中,data即为初始化阶段生成的PcapThreadVars结构体,而slot就是包含该模块的那个slot,传入进来的目的主要是获取线程中后续的slot(这里对应DecodePcap),以调用后续的数据包处理流程。

/**
 *  \brief Main PCAP reading Loop function
 */
TmEcode ReceivePcapLoop(ThreadVars *tv, void *data, void *slot)
{
    SCEnter();

    int packet_q_len = 64;
    PcapThreadVars *ptv = (PcapThreadVars *)data;
//获取初始化时生成的PcapThreadVars结构体
    int r;
    TmSlot *s = (TmSlot *)slot;
//获取当前slot(此处是与“ReceivePcap”对应的slot)

    ptv->slot = s->slot_next;
//将PcapThreadVars指向下一个slot(此处是与“DecodePcap”对应的slot)
    ptv->cb_result = TM_ECODE_OK;

    while (1) {
        if (suricata_ctl_flags & (SURICATA_STOP | SURICATA_KILL)) {
            SCReturnInt(TM_ECODE_OK);
/*检查suricata_ctl_flags是否包含STOP或KILL标志,即Suricata是否需要退出,
若是的话则立即返回。这里让子线程去检查全局控制标志的处理方式感觉的不是很优雅,
最好是只检查自己的线程标志。*/
        }

        /* make sure we have at least one packet in the packet pool, to prevent
         * us from alloc'ing packets at line rate */
        PacketPoolWait();
//等待packet pool中有空闲数据包结构(通过cond或sleep实现)

        /* Right now we just support reading packets one at a time. */
        r = pcap_dispatch(ptv->pcap_handle, packet_q_len,
                          (pcap_handler)PcapCallbackLoop, (u_char *)ptv);
/*调用pcap_dispatch获取并处理数据包。其中,第2个参数表示最多处理的数据包个数,
传入的值packet_q_len为packet pool的当前大小;第3个参数为包处理回调函数
PcapCallbackLoop;最后一个参数为传给前面的回调函数的用户数据,这里传入的是
PcapThreadVars结构体。*/

        if (unlikely(r < 0)) {
            int dbreak = 0;
            SCLogError(SC_ERR_PCAP_DISPATCH, "error code %" PRId32 " %s",
                       r, pcap_geterr(ptv->pcap_handle));
#ifdef PCAP_ERROR_BREAK
            if (r == PCAP_ERROR_BREAK) {
                SCReturnInt(ptv->cb_result);
            }
#endif
            do {
                usleep(PCAP_RECONNECT_TIMEOUT);
                if (suricata_ctl_flags != 0) {
                    dbreak = 1;
                    break;
                }
                r = PcapTryReopen(ptv);
            } while (r < 0);
//检查返回值,若出错则尝试不断调用PcapTryReopen重新开启抓包。
            if (dbreak) {
                break;
            }
        } else if (ptv->cb_result == TM_ECODE_FAILED) {
            SCLogError(SC_ERR_PCAP_DISPATCH, "Pcap callback PcapCallbackLoop failed");
            SCReturnInt(TM_ECODE_FAILED);
        } else if (unlikely(r == 0)) {
            TmThreadsCaptureInjectPacket(tv, ptv->slot, NULL);
        }

        StatsSyncCountersIfSignalled(tv);
//同步stats counters
    }

    PcapDumpCounters(ptv);
    StatsSyncCountersIfSignalled(tv);
    SCReturnInt(TM_ECODE_OK);
}
高晓伟_Steven
关注
专栏目录
如何自动化的对PCAP数据包进行suricata/snort/zeek分析
村中少年的专栏
06-09 2159
如何通过dalton提供的API自动化分析数据包
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 814
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 各个线程干的事情 -- WorkerThread
xuwaiwai的博客
01-14 1195
suricata 工作线程的运行流程
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
suricata收包模式
唐装鼠的主页
06-05 556
例如,如果您在Linux系统上运行Suricata,并且想要捕获本地网络接口上的数据包,则应使用AF_PACKET模式。如果您在防火墙上运行Suricata,并且想要捕获经过防火墙的数据包,则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例,可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例,可以捕获本地网络接口上的数据包。此模式还支持混杂模式,可以捕获网络上的所有数据包,而不仅仅是发送到本地接口的数据包
suricata 3.1 源码分析22 (数据包处理2)
superbfly的专栏
09-27 2081
数据包进行进一步处理的TmThreadsSlotVarRun函数原型如下: TmEcode TmThreadsSlotVarRun(ThreadVars *tv, Packet *p,TmSlot *slot) 按照函数头的注释说明,这个函数被从母函数中拉出来独立存在的原因是,为了能够对其进行递归调用。函数主流程是一个遍历所有slot的for循环,/** * \brief S
Suricata通过barnyard2将告警事件存入mysql
u011311291的博客
01-10 2604
barnyard2的输入可以为bro,snort,suricata的告警文件,输出可以为文件,sguil,database 这里以suricata+barnyard2为例,输出文件格式必须为unified2格式 一.修改suricata的配置文件suricata.yaml,修正输出格式 outputs: - fast: enabled: yes filename: fast.l...
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata源码阅读笔记:数据包
weixin_34221036的博客
12-19 504
2019独角兽企业重金招聘Python工程师标准>>> ...
Suricata + Wireshark离线流量日志分析
最新发布
10-06
在离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
brimcap:无缝地将pcap转换为类型丰富的zng zeek和suricata日志
04-12
帽檐 命令行实用程序,用于将pcap数据转换为灵活的,可搜索的zng数据格式,如和zq。 快速开始 。 随手准备一个pcap(或从下载示例pcap)。 运行brimcap分析: brimcap analyze sample.pcap > sample.zng 使用浏览: zq -z "zeek=count(has(_path)), alerts=count(has(event_type='alert'))" logs.zng 与Brim桌面应用程序配合使用 为了以丰富的基于ui的体验浏览数据,可以使用brimcap load命令(适用于linux,macOS和Windows的构建)将来自分析的数据自动加载到*: 运行帽沿桌面应用程序。 在pcap上执行brimcap加载: brimcap load sample.pcap *集成目前还不是很好,很快就会有更好的体验! 安装
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4721
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata 3.1 源码分析30 (packet_pool处理流程)
superbfly的专栏
10-13 3727
简介suricata中的packet_poo是专门用于存放receive线程抓到的数据包的。 receive线程初始化时在TmThreadsSlotPktAcqLoop中调用PacketPoolInit来初始化它的packet_pool,并为packet_pool划分内存空间。默认是申请1024个packet结构大小的空间,以链表的开示存储。这里的packet_pool被记为“my_pool”,也
Suricata高性能配置
u011311291的博客
03-05 6563
一.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 613
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata程序架构
zrq293的博客
03-31 2082
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计数据输出,如pcap、json、unified2等,非常便于与Barnyard2等工具集成。 图1 图2 1.运行模式(runmode) Suricata有多种运行模...
suricata 3.1 源码分析36 (dns解析获取相关内容)
superbfly的专栏
03-02 1590
在app-layer-dns-udp.c文件的DNSUDPRequestParse函数中调用DNSStoreQueryInState函数,该函数在app-layer-dns-common.c文件中。DNSStoreQueryInState中会取dns信息,包括type, class, name(可以是要查询的host)fqdn指向dns中的name,fqdn_len为name的长度。附dns正文结...
workers模式流程
wsk004321的专栏
05-19 1420
main:注册运行模式(添加到全局的运行模式数组runmodes中) RunModeRegisterRunModes(); -------------------------- RunModeIdsPcapRegister(); {     RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "workers",       
使用Suricata进行数据包分析:Sca100t中文指南
本文档主要介绍了如何在Ubuntu系统上使用Suricata进行数据包分析Suricata是一款强大的网络入侵检测和预防系统(IDS/IPS),它能对网络流量进行实时监控,识别潜在的攻击和异常行为。 首先,数据包分析在网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值