libnids分析(1)

最新推荐文章于 2022-02-24 22:05:36 发布
最新推荐文章于 2022-02-24 22:05:36 发布
阅读量3.1k 收藏
点赞数
文章标签: stream tcp struct table prism null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieqb/article/details/7675560
版权

nids首先初始化:

int nids_init()
{
    if (nids_params.filename) {
	if ((desc = pcap_open_offline(nids_params.filename,
				      nids_errbuf)) == NULL)
	    return 0;
    } else if (!open_live())
	return 0;

    if (nids_params.pcap_filter != NULL) {
	u_int mask = 0;
	struct bpf_program fcode;

	if (pcap_compile(desc, &fcode, nids_params.pcap_filter, 1, mask) <
	    0) return 0;
	if (pcap_setfilter(desc, &fcode) == -1)
	    return 0;
    }
    switch ((linktype = pcap_datalink(desc))) {
#ifdef DLT_IEEE802_11
#ifdef DLT_PRISM_HEADER
    case DLT_PRISM_HEADER:
#endif
    case DLT_IEEE802_11:
	/* wireless, need to calculate offset per frame */
	break;
#endif
#ifdef DLT_NULL
    case DLT_NULL:
        linkoffset = 4;
        break;
#endif        
    case DLT_EN10MB:
	linkoffset = 14;
	break;
    case DLT_PPP:
	linkoffset = 4;
	break;
	/* Token Ring Support by vacuum@technotronic.com, thanks dugsong! */
    case DLT_IEEE802:
	linkoffset = 22;
	break;

    case DLT_RAW:
    case DLT_SLIP:
	linkoffset = 0;
	break;
#define DLT_LINUX_SLL   113
    case DLT_LINUX_SLL:
	linkoffset = 16;
	break;
#ifdef DLT_FDDI
    case DLT_FDDI:
        linkoffset = 21;
        break;
#endif        
#ifdef DLT_PPP_SERIAL 
    case DLT_PPP_SERIAL:
        linkoffset = 4;
        break;
#endif        
    default:
	strcpy(nids_errbuf, "link type unknown");
	return 0;
    }
    if (nids_params.dev_addon == -1) {
	if (linktype == DLT_EN10MB)
	    nids_params.dev_addon = 16;
	else
	    nids_params.dev_addon = 0;
    }
    if (nids_params.syslog == nids_syslog)
	openlog("libnids", 0, LOG_LOCAL0);

    init_procs();
    tcp_init(nids_params.n_tcp_streams);
    ip_frag_init(nids_params.n_hosts);
    scan_init();
    return 1;
}
static void init_procs()
{
    ip_frag_procs = mknew(struct proc_node);
    ip_frag_procs->item = gen_ip_frag_proc;
    ip_frag_procs->next = 0;
    ip_procs = mknew(struct proc_node);
    ip_procs->item = gen_ip_proc;
    ip_procs->next = 0;
    tcp_procs = 0;
    udp_procs = 0;
}



int tcp_init(int size)
{
  int i;
  if (!size) return 0;
  tcp_stream_table_size = size;
  tcp_stream_table = malloc(tcp_stream_table_size * sizeof(char *));
  if (!tcp_stream_table)
    nids_params.no_mem("tcp_init");
  memset(tcp_stream_table, 0, tcp_stream_table_size * sizeof(char *));
  max_stream = 3 * tcp_stream_table_size / 4;
  streams_pool = (struct tcp_stream *) malloc((max_stream + 1) * sizeof(struct tcp_stream));
  if (!streams_pool)
    nids_params.no_mem("tcp_init");
  for (i = 0; i < max_stream; i++)
    streams_pool[i].next_free = &(streams_pool[i + 1]);
  streams_pool[max_stream].next_free = 0;
  free_streams = streams_pool;
  init_hash(); 
  return 0;
}

xieqb
关注
libNids TCP 分析
Dawnworld
06-04 1422
libNids TCP 的一些问题分析,主要关注TCP流的释放和内存的增长
网络数据包截获程序 数据包 截获 防火墙 WpdPack Libnids
01-07
网络数据包截获程序 数据包 截获 防火墙 WpdPack Libnids 数据包 截获 防火墙 WpdPack Libnids
libnids 分析笔记
qinggebuyao的专栏
06-27 6875
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
libnids分析(6)
网络审计
06-19 1871
查找是否存在tcpstruct tcp_stream * find_stream(struct tcphdr * this_tcphdr, struct ip * this_iphdr, int *from_client) { struct tuple4 this_addr, reversed; int hash_index; struct tcp_stream *a_
pcap抓包库部分函数说明
lyl4301203的专栏
07-28 4160
学习通过侦听网卡获取报文的程序,遇到部分pacp抓包库中的函数,在查阅资料后,作以下整理说明: 1. pcap_next_ex(): 基于非回调函数的捕获数据包,参数有三个,一个网卡描述符,两个指针,两个指针会被初始化并返回给用户,一个是pcap_pkthdr结构,一个是接收数据的缓冲区。pcap_pkthdr结构如下所示: struct pcap_pkthdr {       struc
winpcap 获取数据包源码——可直接编译可用
热门推荐
badman250的专栏
11-19 3万+
源码 winpcap 获取数据包           定义了TCP头部,IPv4地址,ip头结构体。此外还有一些和pcap相关的结构体和函数。          结构体:pcap_if_t,pcap_t,bpf_program          函数:pcap_findalldevs,pcap_freealldevs,pcap_open_live,pcap_datalink,pcap_c
libnids使用.zip
08-16
Libnids,全称Network Intrusion Detection System,是一个开源的、基于事件的网络入侵检测系统,主要用于分析网络流量并识别潜在的攻击行为。它基于著名的pcap库,能够捕获和解析网络数据包,提供了一种有效的方法...
Libnids-1.19-win32-rebuid.zip
01-25
Libnids的核心是基于Ethereal(现在称为Wireshark)的NIDS引擎,它能够解析网络协议,实时分析数据包,从而发现异常和潜在的安全威胁。 屏蔽校验和的功能是一项关键的增强,它允许Libnids在检测网络流量时忽略某些...
tcp.rar_libnids
09-19
这个压缩包可能包含了一个名为“tcp.c”的源代码文件,该文件可能是用于演示如何利用WinPcapLibnids来捕获并分析TCP数据包。 **TCP(传输控制协议)** TCP是Internet协议套件中的一个核心协议,负责在两个通信...
libnids_TCP.rar_C++ TCP_build589_libnids_tcp
09-21
libnids是一个开源的网络入侵检测系统(NIDS)库,它主要用于在网络数据流中识别和分析特定的协议行为。在libnids的实现中,TCP部分是核心功能之一,它允许开发者监控和分析TCP连接。本文将深入探讨libnidsTCP部分...
使用libnids嗅探TCP
stSahana的博客
03-16 1085
/* Copyright (c) 1999 Rafal Wojtczuk &lt;nergal@7bulls.com&gt;. All rights reserved. See the file COPYING for license details. */ /* 在原示例代码的基础上做了修改,使得可以一次性打印一个TCP流的数据。 */ #include &lt;sys/types.h&gt;...
snort源码分析
qq_43445553的博客
02-24 3688
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eS0IVwzj-1645710889444)(snort分析.assets/xiaoming.jpg)] 《入侵检测技术》课程报告 《入侵检测技术》 snort分析 ​ 课程名称 入侵检测技术 ​ .
ssh协议是osi_OSI、TCP/IP、IEEE802的区别
weixin_39762856的博客
11-21 226
上一篇最后留了两个问题:1、OSI、TCP/IP、IEEE802的区别?2、常见的兼容性接口,还有100base-T,1000base-X,1000base-TX,1000base-FX前面分析过100/1000为速率,base表明使用的频率是基带,那么后面尾缀-T、-X、-TX…分别表示的意思?01OSI、TCP/IP、IEEE802的区别1、OSI参考模型并不是一个标准,而是一个在制...
libpcap库多网卡抓包
bryanting的博客
10-31 1796
由于libpcap库没有可以同时监听多个网卡函数,根据网友的建议,我决定使用多线程的方法分别开多个线程监听多个网卡来解决此问题。这里以双网卡监听为例,将解决方案给出,不妥之处还请读者指出
Nids.h详细注释
【像男人一样去战斗】︻╋████◤
03-03 1231
#ifndef _NIDS_NIDS_H #define _NIDS_NIDS_H #define NIDS_MAJOR 1     /* 主版本号 */ #define NIDS_MINOR 20    /* 次版本号 */
libnids-1.21 中 IP 分片重组分析 之数据结构与处理流程
sandrain_zeq的专栏
06-13 9777
 1、 IP分片    任何IP层接收到一份要发送的IP数据报时,它要判断向本地哪个接口发送数据,并查询该接口的MTU。IP把MTU与数据报的长度进行比较,如果需要则进行分片。分片可以发生在原始发送端主机上,也可以发送在中间路由器上。IP数据报分片后,只有到达目的主机后才进行重装。IP首部与分片有关的字段:  (1)对于每份IP数据报来说,都有一个标识字段,该值在分片时被复
Libnids入门:数据结构与安装教程
- NIDS_JUST_EST (1): 表示TCP连接建立阶段,此时可以决定是否对新建立的TCP连接进行分析,可能涉及到捕获客户端接收的数据、服务器端数据等。 - NIDS_DATA2: 在这个状态下,系统接收数据并将其暂存,用于进一步分析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值