suricata 3.1 源码分析26 (数据包VLAN解码)

最新推荐文章于 2024-05-27 18:47:46 发布
最新推荐文章于 2024-05-27 18:47:46 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52766587
版权

由于VLAN可能嵌套,因此Packet结构体中使用以下相应字段进行记录:
字段含义vlan_idx当前的vlan层数,初始为0,最多为2,即最多只能嵌套一层VLAN,否则会报错。vlan_id[2]记录每一层的VLAN ID(共12位,可表示4096个VLAN),通过GET_VLAN_ID获得。vlanh[2]记录每一层的VLAN头指针(VLANHdr *类型)。

/**
 * \internal
 * \brief this function is used to decode IEEE802.1q packets
 *
 * \param tv pointer to the thread vars
 * \param dtv pointer code thread vars
 * \param p pointer to the packet struct
 * \param pkt pointer to the raw packet
 * \param len packet len
 * \param pq pointer to the packet queue
 *
 */
int DecodeVLAN(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p, uint8_t *pkt, uint16_t len, PacketQueue *pq)
{
    uint32_t proto;

    if (p->vlan_idx == 0)
        StatsIncr(tv, dtv->counter_vlan);
    else if (p->vlan_idx == 1)
        StatsIncr(tv, dtv->counter_vlan_qinq);

    if(len < VLAN_HEADER_LEN)    {
        ENGINE_SET_INVALID_EVENT(p, VLAN_HEADER_TOO_SMALL);
        return TM_ECODE_FAILED;
//若len小于VLAN_HEADER_LEN(4),则添加VLAN_HEADER_TOO_SMALL事件。

    }
    if (p->vlan_idx >= 2) {
        ENGINE_SET_EVENT(p,VLAN_HEADER_TOO_MANY_LAYERS);
        return TM_ECODE_FAILED;
//vlan_idx是否大于或等于2,否则添加VLAN_HEADER_TOO_MANY_LAYERS事件。

    }

    p->vlanh[p->vlan_idx] = (VLANHdr *)pkt;
    if(p->vlanh[p->vlan_idx] == NULL)
        return TM_ECODE_FAILED;

    proto = GET_VLAN_PROTO(p->vlanh[p->vlan_idx]);

    SCLogDebug("p %p pkt %p VLAN protocol %04x VLAN PRI %d VLAN CFI %d VLAN ID %d Len: %" PRId32 "",
            p, pkt, proto, GET_VLAN_PRIORITY(p->vlanh[p->vlan_idx]),
            GET_VLAN_CFI(p->vlanh[p->vlan_idx]), GET_VLAN_ID(p->vlanh[p->vlan_idx]), len);

    /* only store the id for flow hashing if it's not disabled. */
    if (dtv->vlan_disabled == 0)
        p->vlan_id[p->vlan_idx] = (uint16_t)GET_VLAN_ID(p->vlanh[p->vlan_idx]);

    p->vlan_idx++;

    switch (proto)   {
        case ETHERNET_TYPE_IP:
            DecodeIPV4(tv, dtv, p, pkt + VLAN_HEADER_LEN,
                       len - VLAN_HEADER_LEN, pq);
            break;
        case ETHERNET_TYPE_IPV6:
            DecodeIPV6(tv, dtv, p, pkt + VLAN_HEADER_LEN,
                       len - VLAN_HEADER_LEN, pq);
            break;
        case ETHERNET_TYPE_PPPOE_SESS:
            DecodePPPOESession(tv, dtv, p, pkt + VLAN_HEADER_LEN,
                               len - VLAN_HEADER_LEN, pq);
            break;
        case ETHERNET_TYPE_PPPOE_DISC:
            DecodePPPOEDiscovery(tv, dtv, p, pkt + VLAN_HEADER_LEN,
                                 len - VLAN_HEADER_LEN, pq);
            break;
        case ETHERNET_TYPE_VLAN:
        case ETHERNET_TYPE_8021AD:
            if (p->vlan_idx >= 2) {
                ENGINE_SET_EVENT(p,VLAN_HEADER_TOO_MANY_LAYERS);
                return TM_ECODE_OK;
            } else {
                DecodeVLAN(tv, dtv, p, pkt + VLAN_HEADER_LEN,
                        len - VLAN_HEADER_LEN, pq);
            }
            break;
        default:
            SCLogDebug("unknown VLAN type: %" PRIx32 "", proto);
            ENGINE_SET_INVALID_EVENT(p, VLAN_UNKNOWN_TYPE);
            return TM_ECODE_OK;
    }

    return TM_ECODE_OK;
}
高晓伟_Steven
关注
专栏目录
如何自动化的对PCAP数据包进行suricata/snort/zeek分析
村中少年的专栏
06-09 2177
如何通过dalton提供的API自动化分析数据包
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4741
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6798
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata 3.1 源码分析12
superbfly的专栏
09-12 1986
int engine_retval = EXIT_SUCCESS; while(1) { if (sigterm_count) { suricata_ctl_flags |= SURICATA_KILL; } else if (sigint_count) { suricat
suricata源码解析
唐装鼠的主页
09-21 706
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 825
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 3.1 源码分析1
superbfly的专栏
08-26 4259
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
Suricata + Wireshark离线流量日志分析
10-06
在离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
suricata 3.1 源码分析3
superbfly的专栏
08-30 2882
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3446
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
suricata 3.1 源码分析4
superbfly的专栏
08-31 2772
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小写字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 2654
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进行规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
suricata 3.1 源码分析36 (dns解析获取相关内容)
superbfly的专栏
03-02 1592
在app-layer-dns-udp.c文件的DNSUDPRequestParse函数中调用DNSStoreQueryInState函数,该函数在app-layer-dns-common.c文件中。DNSStoreQueryInState中会取dns信息,包括type, class, name(可以是要查询的host)fqdn指向dns中的name,fqdn_len为name的长度。附dns正文结...
suricata 3.1 源码分析17 (流管理2)
superbfly的专栏
09-20 1682
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //流
Suricata源码解析-开启从小白到小白必经之路
最新发布
qq_54078539的博客
05-27 277
Suricata源码分析
suricata 3.1 源码分析8
superbfly的专栏
09-06 1579
CSetStartTime(&suri); 设置记录开始时间 SCDropMainThreadCaps(suri.userid, suri.groupid); 去除主线程的权限。这个是通过libcap-ng实现的,首先调用capng_clear清空所有权限,然后根据运行模式添加一些必要权限(主要是为了抓包),最后调用capng_change_id设置新的uid和gid。主线程的权限应该会被新建
suricata 3.1 源码分析7
superbfly的专栏
09-05 2277
DetectEngineCtx *de_ctx = NULL; if (!suri.disabled_detect) { //detect设为启用 SCClassConfInit(); 解析Class相关正则 SCReferenceConfInit(); 解析Refference相关正则 SetupDelayedDetect(&suri);
使用Suricata进行数据包分析:Sca100t中文指南
本文档主要介绍了如何在Ubuntu系统上使用Suricata进行数据包分析Suricata是一款强大的网络入侵检测和预防系统(IDS/IPS),它能对网络流量进行实时监控,识别潜在的攻击和异常行为。 首先,数据包分析在网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值