suricata的InspectEngine

已于 2022-11-04 14:09:33 修改
阅读量909 收藏
点赞数
分类专栏: suricata概述及源码分析 文章标签: c语言 网络安全
于 2022-11-04 14:01:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clygo9/article/details/127684721
版权

1.结构

//报文检测引擎,有检测指针,检测模式等等信息,是链表节点
typedef struct DetectEnginePktInspectionEngine {
    SigMatchData *smd;
    bool mpm;
    uint16_t sm_list;
    uint16_t sm_list_base;
    struct {
        InspectionBufferGetPktDataPtr GetData;
        InspectionBufferPktInspectFunc Callback;
        /** pointer to the transforms in the 'DetectBuffer entry for this list */
        const DetectEngineTransforms *transforms;
    } v1;
    struct DetectEnginePktInspectionEngine *next;
} DetectEnginePktInspectionEngine;
// 存放着检测该流的应用层一切的信息,包括该报文的检测回调函数
// 检测模式,是什么协议等等,是一个链表节点
typedef struct DetectEngineAppInspectionEngine_ {
    AppProto alproto;
    uint8_t dir; // 方向
    uint8_t id;     /**< per sig id used in state keeping */
    bool mpm;
    bool stream;
    uint16_t sm_list;
    uint16_t sm_list_base; /**< base buffer being transformed */
    int16_t progress;

    /* \retval 0 No match.  Don't discontinue matching yet.  We need more data.
     *         1 Match.
     *         2 Sig can't match.
     *         3 Special value used by filestore sigs to indicate disabling
     *           filestore for the tx.
     */
    InspectEngineFuncPtr Callback;

    struct {
        InspectionBufferGetDataPtr GetData;
        InspectEngineFuncPtr2 Callback;
        /** pointer to the transforms in the 'DetectBuffer entry for this list */
        const DetectEngineTransforms *transforms;
    } v2;

    SigMatchData *smd;

    struct DetectEngineAppInspectionEngine_ *next;
} DetectEngineAppInspectionEngine;
// 里面放着检测函数指针,要检测的id,要检测的内容等等,是一个节点
typedef struct DetectBufferType_ {
    const char *string;
    const char *description;
    int id;
    int parent_id;
    bool mpm;
    bool packet; /**< compat to packet matches */
    bool supports_transforms;
    void (*SetupCallback)(const struct DetectEngineCtx_ *, struct Signature_ *);
    bool (*ValidateCallback)(const struct Signature_ *, const char **sigerror);
    DetectEngineTransforms transforms;
} DetectBufferType;

这个检测节点作为data放在HashListTable *g_buffer_type_hash,这个hash链表中。

2.操作函数

// 增加一个名字为name新DetectEnginePktInspectionEngine节点,放在老的

// DetectEnginePktInspectionEngine链表末尾

// 这个节点的回调函数Callback,就要包的检测函数

DetectPktInspectEngineRegister

DetectAppLayerInspectEngineRegister

DetectAppLayerInspectEngineRegister2

DetectAppLayerInspectEngineCopy

DetectAppLayerInspectEngineCopyListToDetectCtx

DetectPktInspectEngineCopyListToDetectCtx        

AppendStreamInspectEngine

DetectEngineAppInspectionEngine2Signature

DetectEngineAppInspectionEngineSignatureFree

3.解释

InspectEngine的功能及作用?

这是检测引擎,一些注册之类的操作。。。。

小虎随笔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Suricata之源代码(一)
qianligaoshan的专栏
04-09 2989
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
suricata6 detect
唐装鼠的主页
06-29 150
【代码】suricata6 detect
suricata 3.1 源码分析5
superbfly的专栏
09-01 4140
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata 3.1 源码分析7
superbfly的专栏
09-05 2265
DetectEngineCtx *de_ctx = NULL; if (!suri.disabled_detect) { //detect设为启用 SCClassConfInit(); 解析Class相关正则 SCReferenceConfInit(); 解析Refference相关正则 SetupDelayedDetect(&suri);
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
Suricata-Redis
06-12
Suricata是一款开源的网络入侵检测系统(IDS)和网络入侵防御系统(IPS),它能够实时分析网络流量,检测各种已知和未知的攻击。Redis则是一个高性能的键值存储系统,常被用作数据库、缓存和消息中间件。在"Suricata...
suricata中模式概念详解
wsk004321的专栏
05-19 5678
截止目前,结合开源中国中“背着笔记本流浪”的blog中文章,已经对main函数和数据包收取、解码有了初步了解。其中遇到的困难和疑惑的地方记录在这里,便于今后学习和提升。 1、网络编程知识经验不足,suricata整个架构采用多线程编程的方式,如若不了解线程的用法,理解起来会存在一些难度。 2、底层网络协议了解不够,需要日后补充下知识,感觉仅限了解的层面即可,至少可以看懂。 3、在
suricata 开源工具学习-规则 关键字开发应用
最新发布
qq_41167620的博客
01-22 980
查看默认规则位置,打开suricata.yaml文件,找到rules部分,追加test.rules。这个规则的含义,数据包中存在连续ascll值http内容,且tcp首尾值10进制为104,110。suricata提供了组件式的开发方式,在SigTableSetup注册所有规则关键字。从上得出结论,每个检测关键字提供了三个检测功能,分别为数据包匹配,协议流匹配,和文件匹配。这个匹配接口实现,数据包负载部分首尾值匹配,匹配条件取决于规则中给出的首尾10进制内容。版本中使用,因为他是裁剪的所以我还是用主干。
suricata源码中的packet prefilter 以及payload prefilter
村中少年的专栏
06-16 2635
简单介绍一下suricata源码中的packet prefilter 以及payload prefilter
suricata 初始化做的那些事儿
xuwaiwai的博客
09-03 2866
suricata 初始化做的那些事
第 7 章 Suricata Engine
weixin_34051201的博客
01-01 70
http://www.openinfosecfoundation.org/ 原文出处:Netkiller 系列 手札 本文作者:陈景峯 转载请与作者联系,同时请务必标明文章原始出处和作者信息及本声明。 ...
suricata应用层协议解析
City_of_skey的博客
02-14 3506
suricata应用层协议解析 1. 协议注册 应用层协议保存在全局变量static AppLayerParserCtx alp_ctx; typedef struct AppLayerParserCtx_ { AppLayerParserProtoCtx ctxs[FLOW_PROTO_M...
Suricata之源代码(三)
qianligaoshan的专栏
04-13 2798
这次我
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 597
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata如何进行性能分析
村中少年的专栏
10-24 2921
介绍一下suricata中提供的一些性能分析方法。
Suricata规则动态重载技术详解
"Suricata 是一款开源的网络入侵检测系统 (IDS) 和网络入侵防御系统 (IPS),能够实时分析网络流量,识别恶意活动。本使用说明书主要关注 Suricata 的规则重新载入功能,这一功能允许在不停止 Suricata 运行的情况下...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值