经过上面几篇Blog的学习步骤,到今天再回过头去看了下main函数的执行过程,把重点几个步骤重新整理了下,方便更深入的理解架构。
1. 注册各种运行模式
RunModeRegisterRunModes()函数
RunModeIdsPcapRegister(); // IDS+pcap
RunModeFilePcapRegister(); // File+pcap
RunModeIdsPfringRegister(); // IDS+pfring
RunModeIpsIPFWRegister(); // IPS+ipfw
RunModeIpsNFQRegister(); // IPS+nfq
RunModeErfFileRegister(); // erf+file
RunModeErfDagRegister(); // erf+dag
RunModeNapatechRegister(); // napatech
RunModeIdsAFPRegister(); // IDS+AFP
RunModeUnixSocketRegister(); // UnixSocket
其中每一种运行模式调用RunModeRegisterNewRunMode注册各自的Custom mode(暂且翻译为“自定义模式”)
RunModeRegisterNewRunMode设置各种运行模式的执行函数
例如:RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "single",
"Single threaded pcap live mode",
RunModeIdsPcapSingle);
将执行函数添加到runmodes全局数组中。
全局Runmodes类型数组runmodes保存运行模式,存储结构如下图:
2. 注册模块
注册suricata所支持的所有线程模块
TmModuleReceiveNFQRegister();
TmModuleVerdictNFQRegister();
TmModuleDecodeNFQRegister();
TmModuleReceiveIPFWRegister();
TmModuleVerdictIPFWRegister();
TmModuleDecodeIPFWRegister();
TmModuleReceivePcapRegister();
TmModuleDecodePcapRegister();
TmModuleReceivePcapFileRegister();
TmModuleDecodePcapFileRegister();
……
……
函数内部实现:
void TmModuleReceivePcapRegister (void)
{
tmm_modules[TMM_RECEIVEPCAP].name = "ReceivePcap";
tmm_modules[TMM_RECEIVEPCAP].ThreadInit = ReceivePcapThreadInit;
tmm_modules[TMM_RECEIVEPCAP].Func = NULL;
tmm_modules[TMM_RECEIVEPCAP].PktAcqLoop = ReceivePcapLoop;
tmm_modules[TMM_RECEIVEPCAP].ThreadExitPrintStats = ReceivePcapThreadExitStats;
tmm_modules[TMM_RECEIVEPCAP].ThreadDeinit = NULL;
tmm_modules[TMM_RECEIVEPCAP].RegisterTests = NULL;
tmm_modules[TMM_RECEIVEPCAP].cap_flags = SC_CAP_NET_RAW;
tmm_modules[TMM_RECEIVEPCAP].flags = TM_FLAG_RECEIVE_TM;
}
保存在全局TmModule tmm_modules[TMM_SIZE]数组中。
typedef struct TmModule_
{
char *name;
TmEcode (*ThreadInit)(ThreadVars *, void *, void **); // 线程初始化函数
void (*ThreadExitPrintStats)(ThreadVars *, void *); // 线程退出打印函数
TmEcode (*ThreadDeinit)(ThreadVars *, void *); // 线程关闭函数
TmEcode (*Func)(ThreadVars *, Packet *, void *, PacketQueue *, PacketQueue *);
TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);
TmEcode (*Init)(void);// 全局初始化模块函数
TmEcode (*DeInit)(void);// 全局关闭模块函数
void (*RegisterTests)(void);
uint8_t cap_flags;
uint8_t flags;
} TmModule;
存储结构如下图所示:
3. 模块初始化
TmModuleRunInit()函数
调用tmm_modules[TMM_SIZE]数组中模块各个模块初始化函数。
for (i = 0; i < TMM_SIZE; i++)
{
t = &tmm_modules[i];
t->Init(); // 注意这里执行的是模块全局初始化函数
}
4. 运行模式调度
RunModeDispatch()函数
- 从配置中读取运行模式。
- 获得该运行模式中默认的Custom mode(如:single、auto等)。
- 执行Custom mode中设置的执行函数,如上图中所示的“执行函数”。
5. 运行模式执行函数
例如:RunModeFilePcapSingle()
- 通用模块初始化RunModeInitialize
- 创建tv实例TmThreadCreatePacketHandler
- 从tmm_modules中获得模块TmModuleGetByName
- 插入槽slot
- TmThreadSpawn真正创建线程函数
整理下执行顺序:
- 运行模式注册,设置执行函数
- 所有模块注册,设置模块相关函数
- 所有模块初始化
- 从配置获取运行模式类型,执行函数
- 创建线程
- 根据模块名称从全局数组tmm_modules中得到模块指针
- 插入线程槽slot
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
