suricata 3.1 源码分析34 (FlowWorker处理流程3 - 流重用)

最新推荐文章于 2024-09-19 16:40:22 发布
最新推荐文章于 2024-09-19 16:40:22 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/53944227
版权

上一章提到了一个流重用的概念,这里主要说一下。根据code,所谓流重用仅仅重用了流的thread_id。其他内容都是新建流得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的流可以被重用。

//这就是判断包所属的流是否能重用的函数
int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *tcp_ssn)
{
    if (p->proto == IPPROTO_TCP && p->tcph != NULL) {

/*判断包是不是一次会话中的第一个包,这里的会话可以理解为一次完整的
tcp三次握手和四次挥手。*/
        if (TcpSessionPacketIsStreamStarter(p) == 1) {
/*这里判断包的流向,并根据流向以及对应流中的状态判断该流是否可重用流*/
            if (TcpSessionReuseDoneEnough(p, f, tcp_ssn) == 1) {
                return 1;
            }
        }
    }
    return 0;
}
/*判断包是否是会话的开始*/
static int TcpSessionPacketIsStreamStarter(const Packet *p)
{
/*包的flags为TH_SYN返回1*/
    if (p->tcph->th_flags == TH_SYN) {
        SCLogDebug("packet %"PRIu64" is a stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
        return 1;
    }
/*中间流且包的标志为TH_SYN|TH_ACK,返回1*/
    if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
        if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
            SCLogDebug("packet %"PRIu64" is a midstream stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
            return 1;
        }
    }
    return 0;
}
/*通过会话的状态判断流是否可以被重用*/
int TcpSessionReuseDoneEnough(const Packet *p, const Flow *f, const TcpSession *ssn)
{
    if (p->tcph->th_flags == TH_SYN) {
        return TcpSessionReuseDoneEnoughSyn(p, f, ssn);
    }

    if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
        if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
            return TcpSessionReuseDoneEnoughSynAck(p, f, ssn);
        }
    }

    return 0;
}
高晓伟_Steven
关注
专栏目录
Suricata6.0表管理源码注释二:表初始化
ljq32的专栏
01-08 3934
这篇文章主要对表初始化用到的主要函数进行注释。
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 824
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建的需要打上相应的标记以及计算出表的哈希值。
suricata 3.1 源码分析35 (FlowWorker处理流程4 - 重用函数)
superbfly的专栏
12-30 1523
static Flow *TcpReuseReplace(ThreadVars *tv, DecodeThreadVars *dtv, FlowBucket *fb, Flow *old_f, const uint32_t hash, const Packet *p) { /*
suricata 3.1 源码分析16 (管理1)
superbfly的专栏
09-19 2096
suricata.c的main函数执行完RunModeDispatch之后会在判断是否使用UNIX_SOCKET中调用FlowManagerThreadSpawn创建管理线程。/** \brief spawn the flow manager thread */ void FlowManagerThreadSpawn() { #ifdef AFLFUZZ_DISABLE_MGTTHREADS
suricata 3.1 源码分析32 (FlowWorker处理流程1)
superbfly的专栏
10-18 3298
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused) { FlowWorkerThreadData *fw = data; /*FlowWorkerThreadInit中初始化,包含大量stats统计指标, decode指标在DecodeThreadV
suricata 3.1 源码分析33 (FlowWorker处理流程2 - FlowHandlePacket)
superbfly的专栏
12-27 2481
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricata 管理
10-31 622
suricata 管理
Suricata-7.0 源码分析表建立FlowWorker
wenze123的博客
01-20 1214
Suricata-7.0 FlowerWorker 表建立
开源IDS suricata源码分析(协议解析添加流程
m0_50638175的博客
09-28 6797
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
金蝶K3 Cloud 云端部署
01-17
金蝶K3 Cloud 云端部署,安装帮助文档 ,发版说明,安装指南 金蝶K/3 Cloud 部署推荐配置。仅供参考,欢迎爱好者下载
TSM12 驱动
10-04
TSM12 驱动,ADS TSM12底层驱动包,包含头文件定义,可直接用于TSM12按键读取。
suricata-5.0.3源码
07-30
Suricata在性能、可扩展性和规则集方面进行了优化,提供了更快的检测速度和更多的功能,如多线程处理、高性能处理、IPv6支持等。 5. **规则和签名**: Suricata使用规则语言来定义检测策略,这些规则通常包含...
Suricata-7.0 源码分析之文件还原---以SMTP为例
最新发布
wenze123的博客
09-19 220
指针复制到缓冲区中,并更新缓冲区的偏移量。如果缓冲区不为空,则更新缓冲区。如果缓冲区为空,则直接返回 0。(2)然后,检查数据是否能够完全放入缓冲区中,如果不能,则进行扩容。三、文件还原的具体过程是什么?二、文件还原是怎么实现的?二、文件还原是怎么实现的?一、为什么需要文件还原?一、为什么需要文件还原?(3)接下来,将数据从。
suricata -- 管理系统
xuwaiwai的博客
02-16 6149
suricata中使用 Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
suricata源码之-表管理
村中少年的专栏
06-20 1644
suricata中的表管理,包括表初始化,的新建以及的老化
suricata表管理-新建
qq_41167620的博客
01-11 397
FlowGetFlowFromHash分为三部分,表空的状态处理表与数据包完成hash匹配为数据包关联对应的FlowWoker接口中处理每个数据包,通过FlowHandlePacket完成对每个数据包的匹配和新建工。2)匹配到对应的表,把这个表节点放在头部,并判断节点是否为待关闭状态(配置新的)3、如果第一条就是匹配的,判断节点是否为待关闭状态(配置新的)1)下一节点为空,拿一个新的节点放在表头部。2、如果表中有数据且头节点不匹配数据包。
suricata 3.1 源码分析17 (管理2)
superbfly的专栏
09-20 1682
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //
workers模式流程
wsk004321的专栏
05-19 1421
main:注册运行模式(添加到全局的运行模式数组runmodes中) RunModeRegisterRunModes(); -------------------------- RunModeIdsPcapRegister(); {     RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "workers",       
suricata源码分析
08-12
3. 异步处理Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值