suricata在netmap模式无法抓包的原因

最新推荐文章于 2023-08-24 14:56:07 发布
最新推荐文章于 2023-08-24 14:56:07 发布
阅读量2.2k 收藏 2
点赞数 1
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/64919600
版权

问题描述

suricata在很早就支持了netmap,但最近在用的时候却发现开启netmap抓包后总是获取不到数据包。
使用netmap自带的pke-gen工具测试,结果证明不是netmap的问题。
只能去suricata源码里查原因了。

问题定位

问题出在source-netmap.c文件的NetmapOpen函数中,具体位置如下:

        if (ioctl(pring->fd, NIOCREGIF, &nm_req) != 0) {
            SCLogError(SC_ERR_NETMAP_CREATE,
                       "Couldn't register %s with netmap: %s",
                       ifname, strerror(errno));
            break;
        }

/*问题就在下面的条件判断中,这里面判断是否已经通过mmap设置了共享内存,如果已经设置了就跳过,不在重新设置。逻辑上本来没有问题,但这里将使用NETMAP_IF根据偏移量获取nif也一并跳过了,这就导致后续的ring都指向了最初的nif,无法获取网卡上全部的数据包*/
        if (pdev->mem == NULL) {
            pdev->mem = mmap(0, pdev->memsize, PROT_WRITE | PROT_READ,
                             MAP_SHARED, pring->fd, 0);
            if (pdev->mem == MAP_FAILED) {
                SCLogError(SC_ERR_NETMAP_CREATE,
                           "Couldn't mmap netmap device: %s",
                           strerror(errno));
                break;
            }
            /*此处调用NETMAP_IF根据偏移量nm_req.nr_offset获取nif*/
            pdev->nif = NETMAP_IF(pdev->mem, nm_req.nr_offset);
        }

        if ((i < pdev->rx_rings_cnt) || (i == pdev->rings_cnt)) {
            pring->rx = NETMAP_RXRING(pdev->nif, i);
        }
        if ((i < pdev->tx_rings_cnt) || (i == pdev->rings_cnt)) {
            pring->tx = NETMAP_TXRING(pdev->nif, i);
        }

解决方法

将‘pdev->nif = NETMAP_IF(pdev->mem, nm_req.nr_offset);’这句放到条件判断外就可以了。

        if (pdev->mem == NULL) {
            pdev->mem = mmap(0, pdev->memsize, PROT_WRITE | PROT_READ,
                             MAP_SHARED, pring->fd, 0);
            if (pdev->mem == MAP_FAILED) {
                SCLogError(SC_ERR_NETMAP_CREATE,
                           "Couldn't mmap netmap device: %s",
                           strerror(errno));
                break;
            }
        }
        /*此处调用NETMAP_IF根据偏移量nm_req.nr_offset获取nif*/
        pdev->nif = NETMAP_IF(pdev->mem, nm_req.nr_offset);

        if ((i < pdev->rx_rings_cnt) || (i == pdev->rings_cnt)) {
            pring->rx = NETMAP_RXRING(pdev->nif, i);
        }
高晓伟_Steven
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Suricata+PF_RING安装详解
Ran's Hacking Zone
06-15 4168
1. 前言 Suricata的安装包可以从 github上克隆安装,可以从Suricata官网进行下载。本文的测试以github上的版本为例。 本文的测试平台为 CentOS release 6.7 (Final),不同Linux平台类似。 由于实际需求,本文中的Suricata编译将加入PF_RING零拷贝工具。 2. Suricata Build Info 详解[root@monster sur
suricata-5.0.3源码
07-30
suricata-5.0.3源码包,亲测在 centos7下能编译通过 ,suricata是最新的入侵检测与入侵防御开源的软件,是 snort的最新替代版
Suricata-pfSense:让Suricata在pfSense上工作
03-28
Suricata在pfSense上工作 注意 如果您的机器出现故障,我不提供任何保证。 pfSense不支持这些步骤。 这些步骤对我来说与pfSense 2.5.0-RELEASE结合使用,旨在使您继续努力,使Suricata在pfSense上为您工作。 先决条件 您的ELK堆栈已经在某个地方运行。 您的pfSense已经运行。 pfSense 为了使您更容易复制粘贴到pfSense,请执行以下操作: 在pfSense控制台上: 选择Option 14 to Enable SSH ssh admin@[your-firewall-ip] 例如:ssh [email protected] 选择“选项8:外壳” 启用常规的FreeBSD存储库 vi /usr/local/share/pfSense/pkg/repos/pfSense-repo.conf 将FreeBS
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是Suricata的即用型。 要求 主机设定 安装版本17.12.0+ 安装版本1.6.0+ 用法 初始设置 现在您可以从高山发射。 默认情况下,.env文件中的OS_SURICATA设置为alpine 。 要进行选择,您必须设置OS_SURICATA环境变量或更改.env文件中的值。 可用值: 高山的 首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
Arkime+Suricata离线文件包
08-15
Arkime+Suricata离线文件包,含arkime-3.4.2-1.x86_64.rpm、elasticsearch-oss-7.rpm、suricata-4.1.3.tar.gz、arkimeGEO.tar.gz、ipv4-address-space.csv、oui.txt。
【包】dpdk、ettercap、netmap、netsniff-ng
Li_Jiaqian的博客
10-31 2999
(1)测试openstack架构下,相同租户不同子网之间的通信:数据包需要经过路由器,br-int作为二层网桥,没有学习功能。 (2)测试使用dpdk的抓包工具dpdk-pdump,分析dpdk的优化方式以及cpu占用率高的原因。 (3)安装使用网络抓包工具ettercap。 (4)配置使用netmap网络架构,与tcpdmup对比抓包效率。 (5)配置使用netsniff-ng工具,与t...
suricata的netmap抓包模式安装
08-15 889
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(...
suricata安装以及流量抓包
最新发布
qq_39744805的博客
08-24 156
先安装wazuh的agent上篇博客有提到。与wazuh联动,所以查看wazuh官方文档配置要求跟着配置一步步走就行到这一步,需要将本台ubuntu的ip写上ip addr查看正在使用的是哪块网卡,例如ens33,写在interface后面全都完成好后重启wazuh-agent和suricata
suricata在netmap模式用autofp方式抓包有内存泄漏的相关信息
superbfly的专栏
08-26 2195
说个小的发现。 suricata在运行netmap模式进行抓包的时候默认使用的是”workers”的工作方式。 由于其它的都是“autofp”的方式,所以就带着疑问上google上查了一下。没想到还真查到点东西。 https://redmine.openinfosecfoundation.org/issues/1717 这是论坛里找到的,大体意思是说在suricata 3的版本使用netma
rpm安装telnet_suricata的netmap抓包模式的安装说明
weixin_39688856的博客
11-30 196
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线 pcap 处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的 Lua 脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如 YAML 和 JSON),使用现有的 S...
suricata收包模式
唐装鼠的主页
06-05 391
例如,如果您在Linux系统上运行Suricata,并且想要捕获本地网络接口上的数据包,则应使用AF_PACKET模式。如果您在防火墙上运行Suricata,并且想要捕获经过防火墙的数据包,则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例,可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例,可以捕获本地网络接口上的数据包。此模式还支持混杂模式,可以捕获网络上的所有数据包,而不仅仅是发送到本地接口的数据包。
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
Netmap分析(一)
superbfly的专栏
04-23 8735
工作原理 Netmap是基于零拷贝思想的高速网络I/O架构,它能够在千兆或万兆网卡上达到网卡的线速收发包速率。并且能够有效地节省cpu等计算机资源。 零拷贝(zero-copy)是指主机、路由器等设备与网卡交互时,CPU不需要将数据从和个内存区域拷贝到另一个内存区域。零拷贝通过减少数据拷贝或共享总线操作次数,消除通信数据的不必要的拷贝过程,能够有效地提高通信效率、节省存储空间和处理时间。因
使用 netmap 提升 ixgbe 性能
fengfengdiandia的专栏
09-20 4596
Linux 内核网络协议栈的性能瓶颈导致在处理大量数据包时效果不是很好,考虑使用 netmap 结合网卡来收包。 一、使用方法 # cd LINUX # ./configure --drivers=ixgbe --kernel-sources=/tmp/linux-2.6.32-431.el6 我的操作系统对应的内核源码在 /tmp 下,将 linux-2.6.32-431.e
netmap源码分析(四)用户态收包过程
fengfengdiandia的专栏
11-06 3114
上篇文章 netmap源码分析(三)内核态收包过程 说了内核态收包过程以及如何映射到用户态,那么我们这次来看看用户态究竟如何使用。
Suricata的所有运行方式模式(图文详解)
weixin_33850890的博客
08-09 3085
      不多说,直接上干货!     suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列...
关于Netmap打patch时报错的解决方法二
superbfly的专栏
08-22 1983
还是关于打patch的问题。 这次我还是编译ixgbe的驱动,可make的时候总提示()的问题。 没办法只能把ixgbe_main.c和patch文件一行一行对了,这一对还真发现了大问题。 默认的patch和实际的系统驱动对不上,在函数()中没有(),而()应该在函数()中。 找一个比较符合的patch进行修改,或者干脆直接把符合的patch改名成默认寻找的patch。 不管怎么样总算是
suricata规则
whatday的专栏
12-20 8335
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则与Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
suricata 3.1 源码分析1
superbfly的专栏
08-26 4162
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
suricata ids模式 如何配置reject
06-12
要将Suricata IDS配置为reject模式,您需要进行以下步骤: 1. 配置Suricata IDS以使用IPS模式。在IPS模式下,Suricata IDS可以阻止攻击并发送TCP RST或ICMP消息给攻击者。 2. 配置Suricata IDS规则以拦截攻击。您可以使用Suricata IDS默认规则,或者自定义规则以匹配您的环境。 3. 启用Suricata IDS的reject模式。您可以在Suricata IDS配置文件中设置reject参数为on,这将启用reject模式。您还可以使用其他参数来自定义reject模式的行为,例如设置发送的TCP RST包的大小或ICMP消息的类型。 需要注意的是,在使用reject模式时,需要小心,因为它可能会对合法流量产生误报或误拦截。因此,建议在实际使用之前对reject模式进行充分测试和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值