suricata 3.1 源码分析28 (数据包TCP解码)

最新推荐文章于 2022-01-08 21:49:21 发布
最新推荐文章于 2022-01-08 21:49:21 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52785340
版权 
int DecodeTCP(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p, uint8_t *pkt, uint16_t len, PacketQueue *pq)
{
    StatsIncr(tv, dtv->counter_tcp);

    if (unlikely(DecodeTCPPacket(tv, p,pkt,len) < 0)) {
//调用DecodeTCPPacket完成实际的解码
        SCLogDebug("invalid TCP packet");
        p->tcph = NULL;
        return TM_ECODE_FAILED;
    }

#ifdef DEBUG
    SCLogDebug("TCP sp: %" PRIu32 " -> dp: %" PRIu32 " - HLEN: %" PRIu32 " LEN: %" PRIu32 " %s%s%s%s%s",
        GET_TCP_SRC_PORT(p), GET_TCP_DST_PORT(p), TCP_GET_HLEN(p), len,
        TCP_HAS_SACKOK(p) ? "SACKOK " : "", TCP_HAS_SACK(p) ? "SACK " : "",
        TCP_HAS_WSCALE(p) ? "WS " : "", TCP_HAS_TS(p) ? "TS " : "",
        TCP_HAS_MSS(p) ? "MSS " : "");
#endif

    FlowSetupPacket(p);
/*设置包的flag为PKT_WANTS_FLOW,并调用FlowGetHash获得包的flow_hash*/

    return TM_ECODE_OK;
}
static int DecodeTCPPacket(ThreadVars *tv, Packet *p, uint8_t *pkt, uint16_t len)
{
    if (unlikely(len < TCP_HEADER_LEN)) {
        ENGINE_SET_INVALID_EVENT(p, TCP_PKT_TOO_SMALL);
        return -1;
//若len小于TCP_HEADER_LEN(20),添加TCP_PKT_TOO_SMALL事件并返回
    }

    p->tcph = (TCPHdr *)pkt;
//设置tcph指针(TCPHdr *类型)

    uint8_t hlen = TCP_GET_HLEN(p);
    if (unlikely(len < hlen)) {
        ENGINE_SET_INVALID_EVENT(p, TCP_HLEN_TOO_SMALL);
        return -1;
//获取TCP头部长度hlen,若len小于hlen,则添加TCP_HLEN_TOO_SMALL事件并返回
    }

    uint8_t tcp_opt_len = hlen - TCP_HEADER_LEN;
    if (unlikely(tcp_opt_len > TCP_OPTLENMAX)) {
        ENGINE_SET_INVALID_EVENT(p, TCP_INVALID_OPTLEN);
        return -1;
/*计算TCP选项长度(hlen – 20)tcp_opt_len,若大于TCP_OPTLENMAX(40),
则添加TCP_INVALID_OPTLEN事件并返回。*/
    }

    if (likely(tcp_opt_len > 0)) {
        DecodeTCPOptions(p, pkt + TCP_HEADER_LEN, tcp_opt_len);
//若tcp_opt_len大于0,则调用DecodeTCPOptions对选项进行解码。
    }

    SET_TCP_SRC_PORT(p,&p->sp);
    SET_TCP_DST_PORT(p,&p->dp);

    p->proto = IPPROTO_TCP;

    p->payload = pkt + hlen;
    p->payload_len = len - hlen;
//设置Packet的sp、dp、proto、payload、payload_len。

    return 0;
}

Suricata中用于表示TCP选项的数据结构为TCPVars:

字段含义
tcp_opts[TCP_OPTMAX]TCP选项数组,类型为TCPOpt,TCP_OPTMAX定义为20。
tcp_opt_cntTCP选项个数
ts、sack、sackok、ws、mss特定选项指针

选项由TCPOpt结构体表示:(可参考TCP头部选项 )
typedef struct TCPOpt_ {
uint8_t type; /* 选项类型 */0
uint8_t len; /* 选项长度 */
uint8_t data; / 内容指针 */
} TCPOpt;

其中type有以下几种(参考TCP头部选项功能详解):

类型含义
TCP_OPT_EOL选项表结束。
TCP_OPT_NOP空操作,一般用于将TCP选项的总长度填充为4字节的整数倍。
TCP_OPT_MSS最大报文段长度选项,一般设置为MTU-40,关于MTU可参考:以太网最大帧和最小帧、MTU。
TCP_OPT_WS窗口扩大选项,用于增加TCP窗口值(16位,最大64KB),提高吞吐量。
TCP_OPT_SACKOK选择性确认(Selective Acknowledgements )选项,用在连接初始化时,表示是否支持SACK技术。
TCP_OPT_SACKSACK实际工作的选项,可让发送端只重新发送丢失的TCP报文段。
TCP_OPT_TS时间戳选项,用于计算RTT,从而为TCP流量控制提供重要信息。

DecodeTCPOptions流程为:
1. 与处理IPv4选项类似,循环处理每一个选项。
2. 先看是否为单字节选项:对于EOL,直接退出;对于NOP,前进。
3. 再看是否为多字节选项:填充tcp_opts[tcp_opt_cnt],并设置特定选项指针。

高晓伟_Steven
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
Suricata + Wireshark离线流量日志分析
10-06
Suricata + Wireshark离线流量日志分析
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像 用法 您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface> 但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \ jasonish/suricata:latest -i <interface> 它将日志目录(在当前目
suricata 3.1 源码分析23 (数据包解码模块注册及初始化)
superbfly的专栏
09-28 1870
简介 Suricata解码模块与数据包获取模块是一一对应的,例如DecodePcap对应ReceivePcap,DecodeAFP对应ReceiveAFP。 然而,我们知道数据包格式都是协议规定的,因此核心的数据包解码流程一定会是固定的。例如,对于常规的以太网包IPV4包TCP包,无非是DecodeEthernet->DecodeIPV4->DecodeTCP->… 那么,这里为什么需要设置
tcp段重组--suricata实现
网络安全研究
11-08 6737
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -&amp;amp;amp;gt; PostConfLoadedSetup -&amp;amp;amp;gt; PreRunInit -&amp;amp;amp;gt; StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -&amp;amp;amp;gt; StreamTcp中。 TCP 状态机&a
Suricata源码阅读笔记:数据包解码
weixin_34352005的博客
12-20 1097
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata 源码分析之行锁
guoguangwu的专栏
03-18 1838
此博客讨论的是在多线程下链式哈希表的行锁的使用,主要是针对对哈希表的表锁,二者各有优缺点。 表锁哈希表,只有一把锁,内存少,实现简单,但是在并发访问时,效率极其低下; 行级锁哈希表则每一行都有一把锁,内存开销大,实现复杂,但是在大并发,高效率的后台服务程序中使用非常广泛。suricata就声称自己可以处理万兆网络,这和多线程架构和更细粒度的锁的机制是分不开的。 ...
suricata 3.1 源码分析17 (流管理2)
superbfly的专栏
09-20 1640
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //流
Suricata6.0流表管理源码注释六:流的老化01
ljq32的专栏
01-08 3059
流的老化
Suricata IPS-NFQ模式
Chaowanq的博客
11-30 2430
Suricata IPS-NFQ模式 注:本文写于2019年,文中的相关概念的介绍摘抄出自哪里已经不记得,如有侵权请指出,本文将补充相关部分的引用。 1.Suricata运行模式 Suricata有两个运行模式的概念。 一个运行模式封装在RunModes(runmmode.c)结构体里,一个RunModes对应一组运行模式。Suricata支持的所有运行模式存储在runmodes数组中,定义为RunModes runmodes[RUNMODE_USER_MAX]。模式包括:“IDS+Pcap”模式组、“Fi
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
suricata-5.0.3源码
07-30
suricata-5.0.3源码包,亲测在 centos7下能编译通过 ,suricata是最新的入侵检测与入侵防御开源的软件,是 snort的最新替代版
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip
最新发布
04-15
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip本资源中的源码都是经过本地编译过可运行的,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心...
suricata 3.1 源码分析1
superbfly的专栏
08-26 4162
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
suricata 3.1 源码分析5
superbfly的专栏
09-01 4085
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata 3.1 源码分析30 (packet_pool处理流程)
superbfly的专栏
10-13 3641
简介suricata中的packet_poo是专门用于存放receive线程抓到的数据包的。 receive线程初始化时在TmThreadsSlotPktAcqLoop中调用PacketPoolInit来初始化它的packet_pool,并为packet_pool划分内存空间。默认是申请1024个packet结构大小的空间,以链表的开示存储。这里的packet_pool被记为“my_pool”,也
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3371
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
suricata 3.1 源码分析32 (FlowWorker处理流程1)
superbfly的专栏
10-18 3225
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused) { FlowWorkerThreadData *fw = data; /*FlowWorkerThreadInit中初始化,包含大量stats统计指标, decode指标在DecodeThreadV
suricata 3.1 源码分析20 (数据包封装)
superbfly的专栏
09-23 3172
Suricata中,用来封装数据包的结构体为Packet,核心字段如下: 字段 含义 src/dst、sp/dp、proto 五元组信息:源/目的地址,源/目的端口号,传输层协议(TCP/UDP/…)。 flow 数据包所属的流指针(类型为Flow_ *)。 ip4h、ip6h 网络层数据指针。 tcph、udph、sctph、icmpv4/6h 传输层数据指
suricata源码分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata源代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析:Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其源码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata源码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,源码分析也是学习和贡献开源项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开源入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata源码进行分析有助于深入了解其工作原理和实现方式。 Suricata源码分析主要包括以下方面: 1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析,Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata源码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata源码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata源码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata源码分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值