suricata流重组原理

已于 2024-04-01 17:04:51 修改
阅读量520 收藏
点赞数
分类专栏: suricata 文章标签: tcp/ip 开源
于 2023-11-15 14:57:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaoyong0519/article/details/134420198
版权

       tcp协议流量在网络流量中占据着十分重要的地位,无论是检测基于tcp承载的应用层协议,还是检测tcp数据流,都离不开tcp数据段重组,下面我们来看一下suricata是如何实现tcp数据包重组的。

数据重组流程

   数据重组入口函数StreamTcpReassembleHandleSegmentHandleData(stream-tcp-reassemble.c)。具体详细处理逻辑如下:

  1. 获取当前待重组数据帧的tcp协议负载的信息,根据当前数据帧携带数据的长度,计算该数据帧可使用的数据长度size(即:该数据帧的数据在要求的数据范围内的数据长度,具体计算逻辑可参考StreamTcpReassembleCheckDepth函数)。
  2. 创建TcpSegment对象,初始化seq(当前数据帧的seq)和payload_len(第一步计算出来,符合要求的数据帧的长度size)信息。
  3. 将新建的tcpsegment对象插入TcpStream对象的seg_tree(该树是红黑树,用于判断该tcpsegment对象是否符合重组条件,参照功能函数DoInsertSegment,若该函数返回0则代表插入成功;返回1则代表插入成功但是和前面已插入的tcpsegment存在部分重合的数据;返回2则代表seg_tree树中已含有相同数据的tcpsegment)。
  4. 根据当前数据帧的seq及可用数据长度size,计算当前数据帧携带数据的存放位置(data_offset:当前数据帧中可用于tcp流重组的数据的起始位置,stream_offset:当前数据帧放入tcp流重组中数据在已重组数据中的位置)。

         1)若TcpStream对象的base_seq小于等于当前数据帧的seq

           stream_offset = STREAM_BASE_OFFSET(stream) + (seg->seq - stream->base_seq);

          data_offset = 0;

         2)若TcpStream对象的base_seq大于当前数据帧的seq

         data_offset = stream->base_seq - seg->seq;

          stream_offset = STREAM_BASE_OFFSET(stream);

     5、将待重组的数据存入StreamingBuffer对象的buf,并更新StreamingBuffer对象的相关信息。(具体逻辑处理功能函数: StreamingBufferInsertAt)

        1)计算buf内存空间是否能容纳当前数据帧内容,若不够则自动扩充内存空间

        2)将数据存入streambuf中

&黄粱一梦&
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
suricata 3.2 源码分析(IP数据包分片重组程)
superbfly的专栏
07-11 3409
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
网络入侵检测系统之Suricata(十二)--TCP重组优化
诗酒趁年华
03-08 739
令常数 T1、TN 表示两个超时阈值,T1
Suricata-的处理
Phantasm的博客
08-09 789
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. 的内存处理1.1 memcap选项1.2 hash_siz.
tcp重组--suricata实现
网络安全研究
11-08 6979
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -> PostConfLoadedSetup -> PreRunInit -> StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -> StreamTcp中。 TCP 状态机&a
网络入侵检测系统之Suricata(十一)--TCP重组实现详解
诗酒趁年华
03-08 1047
TCP重组一直是入侵检测系统中最为重要也是最难的一部分,它涉及到全量的缓存,因此存储消耗十分巨大,据统计100万的会话就要产生1G~10G的内存缓存,因此设计一套TCP重组优化的算法十分必要,目前优化的办法有两种,一种是尽量不去TCP重组减少缓存包括红绿名单,配置,抽样算法,另一种就是将重组下沉到硬件例如FPGA,减少以软件方式缓存。
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation ...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
入侵防御系统中TCP数据重组的设计与实现.pdf
08-17
入侵防御系统,可以在并行电脑数据行上发布
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
suricata架构——数据结构和代码程图解
网络安全研究
11-12 6559
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。 数据结构 程 参考: https://suricata.readthedocs.io http://www.hyuuhit.com/categories/suricata/ https://blog.csdn.net/weixin_34253126/article/details/86442134 htt...
重组讲解四部曲(四)- IPTCP重组过程示列
探索
03-12 2683
本文的IPTCP重组过程完全参考libnids中重组过程而来,模拟Linux 2.0.x内核中TCP/IP协议栈重组操作。 1、IP碎片重组过程示例 图 1.1 图1.1所示的为正常的三个分片,offset表示距离原始数据的偏移,offset==0表示第一个分片;end代表offset+datalen的大小,指向下一个分片的起始位置;offset与end共同决定...
suricata 3.1 源码分析35 (FlowWorker处理程4 - 重用函数)
superbfly的专栏
12-30 1502
static Flow *TcpReuseReplace(ThreadVars *tv, DecodeThreadVars *dtv, FlowBucket *fb, Flow *old_f, const uint32_t hash, const Packet *p) { /*
suricata -- 管理系统
xuwaiwai的博客
02-16 6024
suricata中使用 (Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
Suricata6.0表管理源码注释九:补充:新建过程中对于超时的处理
ljq32的专栏
01-09 6346
新建过程中对于超时的处理
Suricata6.0表管理源码注释三:的建立01
ljq32的专栏
01-08 2870
表建立
网安小贴士(6)TCP/IP分层
最新发布
m0_73399576的博客
07-03 1134
网安必备贴士栈——TCP/IP分层篇
suricata工作原理
03-07
Suricata是一款开源的入侵检测和防御系统(IDS/IPS),它可以监控网络量并检测可能的攻击行为。下面是Suricata的工作原理: 1. 抓包:Suricata通过网络接口或者离线数据包文件抓取网络量数据。 2. 解析:Suricata对抓取的网络量进行解析,将其转换为可读的数据构,如IP头部、TCP/UDP部等。 3. 规则匹配:Suricata使用预定义的规则集对解析后的量进行匹配。这些规则可以是基于特定攻击模式、恶意软件特征或异常行为等。 4. 检测与警报:如果匹配到了规则中定义的攻击行为或异常行为,Suricata将生成相应的警报,并采取相应的措施,如记录日志、发送警报通知等。 5. 响应与阻断(可选):Suricata还可以与防火墙等其他安全设备集成,根据检测到的攻击行为主动采取阻断措施,如阻止特定IP地址或端口的访问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值