基于libnids的TCP数据流的还原(多线程实现)

最新推荐文章于 2021-05-16 21:50:11 发布
最新推荐文章于 2021-05-16 21:50:11 发布
阅读量3.2k 收藏 5
点赞数
文章标签: tcp 多线程 struct null buffer function

 我们知道,libnids本身可以实现TCP数据流的重组,但是如果一个TCP流数据量比较大的时候,就会分成好多个TCP报文段,这些报文段在网络中的传播可能是乱序的,利用libnids可以帮助我们按顺序接收到这些报文段,即实现TCP报文段的重组。

    但是我们如何把这些顺序的报文段重新还原成一个完整的数据文件,也是要考虑的一个问题,因为在很多时候,单个的报文段对我们的意义不大,我们需要一个完整的数据,这样才有助于我们进一步分析网络中的数据内容。

    下面的程序实现了基于libnids的TCP数据流的还原,我使用了多线程来控制数据的处理,主要的数据结构是一个带头结点的双向链表队列,队列中的每个结点存储一个完整的TCP数据流的内容,另外还有两个元素,分别是指向前导和后续结点的结构体指针。结构体定义如下:

    struct buf{

        char *buffer;

        struct buf *prev;

        struct buf *next;

    };

    头结点:  struct buf *head;

    多线程对该链表的操作:

    向链表中放数据:void put_function(int size, char *data)

                    {

                          pthread_mutex_lock(&mutex);

                          meke_new_item(size, data);

                          buffer_has_item++;

                          pthread_mutex_unlock(&mutex);

                          sleep(1);

                    }

    mutex为互斥锁,size为data的大小,data为完整的数据流,buffer_has_item为当前链表中结点的数目。

    从链表中去数据的操作:(这是一个线程函数,在执行pthread_create是创建)

    void get_function(void)

    {

          while(1){

                  pthread_mutex_lock(&mutex);

                  if(buffer_has_item > 0){

                           consume_item();

                           buffer_has_item--;

                  }

                  pthread_mutex_unlock(&mutex);

                  sleep(1);

          }

    }

    创建新的节点并把它挂到队列当中:

    void make_new_item(int size, char *data)

    {

          struct buf *con;

          if(!(con = (struct buf *)malloc(sizeof(struct buf)))){

                 assert("con malloc fail!");

          }

          if(!(con->buffer = (char *)malloc(size*sizeof(char)))){

                  assert("con buffer malloc fail!");

          }

          memset(con->buffer, 0, size*sizeof(char));

          memcpy(con->buffer, data, size*sizeof(char));

          con->prev = NULL;

          con->next = NULL;

          if(head->next == NULL){

                head->next = con;

                head->prev = con;

                con->prev = head;

          }else{

                con->prev = head->prev;

                head->prev->next = con;

                head->prev = con;

                con->next = NULL;

          }

     }

     处理还原之后的数据:

     void consume_item()

     {

          int k;

          struct buf *p;

          if(head->next){

                

                 printf("%s", head->next->buffer);

                 p = head->next;

                 if(head->next->next){

                       head->next = head->next->next;

                       head->next->preb = head;

                 }else{

                        head->next = NULL;

                        head->prev = NULL;

                  }

                  if(p){

                        free(p);

                        p = NULL;

                   }

           }

     }

     链表初始化(可以把整个程序的初始化都放在这里进行):

     void init_dlink()

     {

           if(!(head = (struct buf *)malloc(sizeof(struct buf)))){

                     assert("head malloc fail!");

            }

            head->next = NULL;

            head->prev = NULL;

      }

      head的定义是一个全局变量,struct buf *head;

      在主函数当中,要创建线程,注册libnids回调函数:

      int main(int argc, char *argc[])

      {

            pthread_t thread;

            init_dlink();

            pthread_mutex_init(&mutex, NULL);

            if(!nids_init())P{

                  assert("nids init fail!");

            }

            pthread_create(&thread, NULL, (void *)get_function, NULL);

            nids_register_tcp(tcp_protocol_callback);

            nids_tun();

            return 0;

       }

       在回调函数当中,我们可以组织实现TCP数据流的还原,并把还原之后的数据添加到链表当中:

       void tcp_protocol_callback(struct tcp_stream *tcp_connection, void **arg)

       {

            switch(tcp_connection->nids_state){

                   .....................

                   case NIDS_DATA:{

                         ................

                         if(tcp_connection->client.count_new){

                               

                                ..............

                               

                                put_function(sum_len, content);

                         }

                   }

            }

        }

    至此,就完成了还原TCP数据流的多线程处理。

edison0716
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
snmpwalk 获取端口流量_浅谈NTA之流量采集到流量还原
weixin_39689506的博客
12-31 658
声明:由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,知微安全以及文章作者不为此承担任何责任。知微安全拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经知微安全允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。网络流量贯穿业务流转的各个环节,从我们个人PC、手机,到IDC数据中...
基于tcp的应用层协议还原
网络安全研究
01-13 2200
基于tcp的应用层协议还原技术是网络安全每个领域都需要的一种基础技术。 首先,我们需要认识到tcp协议的两个特征: tcp是一种流协议。发送者以字节流的形式传递给接收者。 tcp协议本身没有固有的”报文”或”报文边界”的概念。(参考:https://blog.csdn.net/gengzhikui1992/article/details/83865596) tcp协议的特征1意味着,在还原...
TCP数据包重组实现分析
wfqxx的专栏
06-06 4846
转自:http://blog.sina.com.cn/s/blog_48eef8410100b1gw.html TCP重组数据包分析参照TCP/IP详解第二卷24~29章,详细论述了TCP协议的实现,大概总结一下TCP如何向应用层保证数据包的正确性、可靠性,即TCP如何实现对数据报文的重组。首先要设计两个报文队列,一个存放正常
SpringMVC框架搭建
征信甘肃
07-25 209
一、前期准备 (1)SpringMVC框架搭建依赖Jar包数据仓库 http://repo.springsource.org/libs-release-local/ (2)SpringMVC框架搭建Maven创建项目 待续……
libNids TCP 分析
Dawnworld
06-04 1415
libNids TCP 的一些问题分析,主要关注TCP流的释放和内存的增长
基于Libnids的电子邮件还原
11-16
基于Libnids实现的电子邮件还原, 本文档是PDF格式。
基于LibNIDS的网络安全实验设计与实现.pdf
09-19
基于LibNIDS的网络安全实验设计与实现.pdf
libnids_TCP.rar_C++ TCP_build589_libnids_tcp
09-21
libnids是一个开源的网络入侵检测系统(NIDS)库,它主要用于在网络数据流中识别和分析特定的协议行为。在libnids实现中,TCP部分是核心功能之一,它允许开发者监控和分析TCP连接。本文将深入探讨libnidsTCP部分...
利用libnids和ibcap进行tcp会话的重组
08-18
3. **数据流重组**:当数据包到达时,libnids会尝试将其放入正确的TCP流中,即使这些数据包是非顺序到达的。 4. **事件回调**:libnids提供了一系列的回调函数,当特定的TCP事件发生时(如连接建立、关闭或数据传输...
tcp.rar_libnids
09-19
"tcp.c"文件可能包含一个示例程序,演示如何结合WinPcap和Libnids实现上述功能。通过阅读和理解源代码,我们可以学习如何在实际项目中使用这两个库进行网络数据包捕获和分析。 总的来说,这个压缩包提供了一个学习...
libnids 分析笔记
qinggebuyao的专栏
06-27 6807
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
教你使用Libnids开发包做-协议分析、网络嗅探!
chen1415886044的博客
05-16 3305
Libnids是基于Libpcap和Libnet而开发的,是一个用于网络入侵检测开发的专业编程接口,利用Libndis可以构建网络入侵检测系统。 Libnids有哪些功能 分析源码会发现,Libnids的主要功能包括捕获网络数据包,IP碎片重组、TCP数据流重组以及端口扫描攻击检测、异常数据包检测等等。 这里要说一下,Libnids是基于libpcap来捕获数据包,可以设定过滤规则。对于IP碎片重组,Libnids是参考Linux内核中的IP重组而实现的。 LibnidsTCP数据流重组功能,这在一些开发
底层网络开发库之libnids
Jitonm's Zone
12-08 2729
 一、简介    libnids的英文意思是 Network Intrusion Detect System library,即网络入侵监测系统函数库。它是在前面介绍的两种C函数接口库libnet和libpcap的基础上开发的,封装了开发NIDS所需的许多通用型函数。linids提供的接口函数监视流经本地的所有网络通信,检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端口
利用 TCP IP 模型理解数据通信过程
网络技术联盟站
10-16 440
1. 回顾TCP/IP模型 什么是数据网络(Data Network)?简单地说,数据网络就是一个由各种设备搭建起来的一张网,常见的设备有:路由器、交换机、防火墙、负载均衡器、IDS/IPS、VPN服务器等等。数据网络最基本的功能就是实现不同节点之间的数据互通,也就是数据通信。 TCP/IP模型是当今IP网络的基础(也被称为DoD模型,上图我贴出的并不是标准的TCP/IP模型,为了方便下文的阐述,这里给出的是一个TCP/IP模型与OSI模型的对等模型),它将整个数据通信的任务划分成不同的功能层次(Laye
精讲TCP协议
爱琴孩的博客
10-07 419
TCP 协议的作用 互联网由一整套协议构成。TCP 只是其中的一层,有着自己的分工。最底层的以太网协议(Ethernet)规定了电子信号如何组成数据包(packet),解决了子网内部的点对点通信。但是,以太网协议不能解决多个局域网如何互通,这由 IP 协议解决。IP 协议定义了一套自己的地址规则,称为 IP 地址。它实现了路由功能,允许某个局域网的 A 主机,向另一个局域网的 B 主机发送消息。路由的原理很简单。市场上所有的路由器,背后都有很多网口,要接入多根网线。路由器内部有一张路由表,规定了 A 段
基于 libnids和libpcap 还原 tcp stream
chengfangang的专栏
04-26 1331
#include <nids.h> #include <pcap.h> #include <libnet.h> #include <string.h> /* Libnids的头文件,必须包含 */ char ascii_string[10000]; char *char_to_ascii(char ch) /* 此函数的功能主要用于把协议数据进行显...
libnids 在VS 2010中使用方法及编译错误解决方法
黑开水的专栏
10-28 3595
一、配置的准备工作       目前网上的能稳定支持windows的libnids版本为libnids-W32-1.19。网上搜一下有很多,随便下一个并解压缩。由于libnids需要使用winpcap,所以要先下载并安装winpcap。登陆winpcaphttp://www.winpcap.org/install/default.htm下载最新版winpcap的安装包,然后到http://www
libnids分析
程序狗的成长之路
08-15 1326
典型的运用 libnids 的应用代码 下面是应用 libnids 的典型代码,节选自 libnids 自带的范例: sample/sniff.c Toggle linenumbers 1 4 void 5 sniff_callback (struct tcp_stream *a_tcp, void **this_time_not_needed) 6 7
libnids-TCP流重组
lotus302的专栏
01-07 4429
1.  Void process_tcp(u_char * data, int skblen)  2.  {  3.     4.    struct ip *this_iphdr = (struct ip *)data;  5.    /*tcphdr 的头*/  6.    struct tcphdr *this_tcphdr = (struct tcphdr *)(data +
基于Libnids库的入侵检测程序的设计与实现,调用Libnids库的API并显示
最新发布
06-03
好的,我会尽力回答您的问题。首先,Libnids是一个基于网络的入侵检测系统库,它可以用来监听网络流量并提取网络流量中的协议数据单元(PDU)。它包括一个用于解析 TCP/IP 流量的 TCP/IP 协议分析器和一个用于检测 TCP/IP 流量的入侵检测引擎。 基于Libnids库的入侵检测程序的设计与实现需要以下步骤: 1. 安装Libnids库和相关依赖。Libnids库是一个C语言库,可以从官方网站上下载和安装。 2. 编写C语言程序,调用Libnids库的API。在程序中,需要使用Libnids库提供的函数来进行协议分析和入侵检测。 3. 实现入侵检测引擎。可以使用Libnids库提供的协议分析器来解析TCP/IP流量,然后根据预定义的规则进行入侵检测。 4. 显示入侵检测结果。可以使用图形界面或命令行来显示入侵检测结果。 以下是一个简单的基于Libnids库的入侵检测程序的示例代码: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <unistd.h> #include <netinet/in.h> #include <arpa/inet.h> #include <nids.h> /* 入侵检测回调函数 */ void tcp_callback(struct tcp_stream *tcp, void **arg) { /* 判断TCP流状态 */ if (tcp->nids_state == NIDS_JUST_EST) { printf("New TCP connection from %s:%d\n", inet_ntoa(*((struct in_addr *)&tcp->addr.saddr)), ntohs(tcp->addr.source)); } else if (tcp->nids_state == NIDS_CLOSE) { printf("TCP connection closed\n"); } /* 检测HTTP请求 */ if (tcp->nids_state == NIDS_DATA && tcp->server.count_new) { char *data = (char *)tcp->server.data; int len = tcp->server.count_new; /* 判断是否为HTTP请求 */ if (len > 4 && strncmp(data, "GET ", 4) == 0) { printf("HTTP GET request detected: %.*s\n", len, data); } } } int main(int argc, char **argv) { /* 初始化Libnids库 */ if (!nids_init()) { printf("Libnids initialization failed\n"); exit(1); } /* 设置TCP回调函数 */ nids_register_tcp(tcp_callback, NULL); /* 开始监听网络流量 */ nids_run(); return 0; } ``` 在这个示例程序中,我们使用Libnids库中的nids_init()函数来初始化Libnids库,并使用nids_register_tcp()函数来注册TCP回调函数。回调函数tcp_callback()会在每个TCP连接状态变化时被调用,我们可以在回调函数中编写入侵检测的代码。在这个示例程序中,我们检测HTTP请求,如果检测到HTTP GET请求,就会打印出请求的内容。 当程序运行时,它会监听网络流量,并在检测到HTTP GET请求时打印出请求的内容。您可以根据自己的需要修改回调函数tcp_callback()来实现更复杂的入侵检测功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值