libnids study

最新推荐文章于 2023-04-22 12:37:07 发布
最新推荐文章于 2023-04-22 12:37:07 发布
阅读量638 收藏
点赞数
分类专栏: Linux 文章标签: callback filter struct tcp function descriptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gxy837/article/details/4864983
版权

首先是main()函数,格式是:

int main ()



{



  if (!nids_init ())



  {



  	fprintf(stderr,"%s/n",nids_errbuf);



  	exit(1);



  }



  nids_register_tcp (tcp_callback);//registration of callback functions



  nids_run ();



 // not reached in normal situation



  return 0;



}



nids_init()初始话抓包的应用程序,基于全局变量nids_params,格式如下:

struct nids_prm {
    int    n_tcp_streams;// Size of the hash table used for storing TCP connection information, defult 1024
    int    n_hosts;          // Size of the hash table used for storing IP defragmentation information. Default value: 256
    char    *device;/* Interface to monitor. Default value: NULL (in which case an appropriate device is determined automatically). If this variable is assigned value all , libnids will attempt to capture packets on all interfaces (which works on Linux only) */
    char    *filename; //call pcap_open_offline with this variable as the argument
    int    sk_buff_size;
    int    dev_addon;
    void    (*syslog)(int type, int err, struct ip *iph, void *data);
    int    syslog_level;
    int    scan_num_hosts;
    int    scan_num_ports;
    int    scan_delay;
    void    (*no_mem)(void);
    int    (*ip_filter)(struct ip *iph);
    char    *pcap_filter;
    int    promisc;
    int    one_loop_less;
    int    pcap_timeout;
    int    multiproc;
    int    queue_limit;
    int    tcp_workarounds;
    pcap_t    *pcap_desc;
} nids_params;


 


sk_buff_size
Size of struct sk_buff (used for queuing packets), which should be set to match the value on the hosts being monitored. Default value: 168
dev_addon
Number of bytes in struct sk_buff reserved for link-layer information. Default value: -1 (in which case an appropriate offset if determined automatically based on link-layer type)
syslog
Syslog callback function, used to report unusual conditions, such as port scan attempts, invalid TCP header flags, etc. Default value: nids_syslog (which logs messages via syslog (3) without regard for message rate per second or free disk space)
syslog_level
Log level used by nids_syslog for reporting events via syslog (3) . Default value: LOG_ALERT
scan_num_hosts
Size of hash table used for storing portscan information (the maximum number portscans that will be detected simultaneously). If set to 0, portscan detection will be disabled. Default value: 256
scan_num_ports
Minimum number of ports that must be scanned from the same source host before it is identifed as a portscan. Default value: 10
scan_delay
Maximum delay (in milliseconds) between connections to different ports for them to be identified as part of a portscan. Default value: 3000
no_mem
Out-of-memory callback function, used to terminate the calling process gracefully.
ip_filter
IP filtering callback function, used to selectively discard IP packets, inspected after reassembly. If the function returns a non-zero value, the packet is processed; otherwise, it is discarded. Default value: nids_ip_filter (which always returns 1)
pcap_filter
pcap (3) filter string applied to the link-layer (raw, unassembled) packets. Note : filters like ''tcp dst port 23'' will NOT correctly handle appropriately fragmented traffic, e.g. 8-byte IP fragments; one should add "or (ip[6:2] & 0x1fff != 0)" at the end of the filter to process reassembled packets. Default value: NULL
promisc
If non-zero, libnids will set the interface (s) it listens on to promiscuous mode. Default value: 1
one_loop_less
Disabled by default; see comments in API.html file
pcap_timeout
Sets the pcap read timeout, which may or may not be supported by your platform. Default value: 1024.
multiproc
If nonzero, creates a separate thread for packets processing. See API.html. Default value: 0.
queue_limit
If multiproc is nonzero, this is the maximum number of packets queued in the thread which reads packets from libpcap. Default value: 20000
tcp_workarounds
Enables extra checks for faulty implementations of TCP such as the ones which allow connections to be closed despite the fact that there should be retransmissions for lost packets first (as stated by RFC 793, section 3.5). If non-zero, libnids will set the NIDS_TIMED_OUT state for savagely closed connections. Default value: 0
pcap_desc
It this variable is set, libnids will call neither pcap_open_live nor pcap_open_offline, but will use a pre-opened PCAP descriptor; use this with nids_pcap_handler() in order to interactively feed packets to libnids. Default value: NULL
gxy837
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Libnidstcp流处理"tcp.c"
Sunshine的专栏
04-27 3199
tcp.c /* Copyright (c) 1999 Rafal Wojtczuk . All rights reserved. See the file COPYING for license details. */ #include #include #include #include #include #include #include #include #i
libNids TCP 分析
Dawnworld
06-04 1415
libNids TCP 的一些问题分析,主要关注TCP流的释放和内存的增长
libnids插件
程序狗的成长之路
08-15 647
Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包(pcap_loop)的功能。同时,Libnids提供了TCP数据流重组功能(使用链表存储前面的数据包,然后按照序号排列),所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片(判断对应字段是否有分片发生,有的话存链表,然后拼接完整在传给tcp层)进行重组的功能
libnids 安装编译与测试
明夕何夕0x00
07-11 4520
1、安装libpcap(略) 2、安装libnet: 源文件下载地址:http://sourceforge.net/projects/libnet-dev/files/ 解压:tar -zxvf libnet-1.2-rc3.tar.gz cd libnet-1.2-rc3 ./configure make make install 安装完以后,配置一下动态库路径,否则libnid...
linux 下运行libnids,libnids出错
weixin_39823676的博客
05-14 182
2017/03/28因为246上一般用的东西都比较多了,就直接使用了这部分。但当初编译的时候也不是我弄得。今天想试一下libnids的编程。编译错误在网上查了下,说是版本不够的原因,那我也不能重新编译了,毕竟还有别人说不定用的好好的。gcc -o test test.c -lnids -lpcap -lnet -lgthread-2.0其实是一些软件库没有链接好,回来得明白这部分的依赖关系。我他妈...
Libnids入门
UKK
05-29 223
Libnids入门 http://www.ifind.cc/view/196
libnids 分析笔记
VMA_LMA的专栏
07-01 1050
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP
Libnids基础和TCP数据流
PP_zi的博客
12-13 2140
目录   本文内容 器材(设备、元器件) 正文 1.Libnids是什么?可以干什么? 2.ids做软件开发流程 3. ids主要函数 4.ids实现tcp流程序分析框架 5.使用NIDS库编写TCP流分析程序,解释和输出三个结构体tuple4,half_stream,nids_prm的值   本文内容 1.Libnids是什么?可以干什么? 2.ids做软件开发流...
Libnids的安装教程
m0_62022097的博客
04-22 1293
在ubuntu安装Libnids
libnids使用.zip
08-16
**libnids库详解** Libnids,全称Network Intrusion Detection System,是一个开源的、基于事件的网络入侵检测系统,主要用于分析网络流量并识别潜在的攻击行为。它基于著名的pcap库,能够捕获和解析网络数据包,...
tcp.rar_libnids
09-19
标题中的“tcp.rar_libnids”表明这是一个与TCP协议和Libnids库相关的项目或教程。Libnids是一个开源的网络嗅探库,主要用于在网络上识别和处理网络流量,特别是TCP流。这个压缩包可能包含了一个名为“tcp.c”的源...
tcp.zip_libnids 源码
09-23
TCP/IP协议与libnids库的深度剖析》 TCP(传输控制协议)是互联网上最基础、最重要的通信协议之一,它为应用层提供了一种可靠的数据传输服务。TCP通过三次握手建立连接,通过序列号和确认应答保证数据的有序和无...
libnids.zip
08-01
**libnids库详解与TCP重组** libnids是一个开源的网络入侵检测系统(NIDS)库,主要用于处理网络数据包,实现对IP协议和TCP流的解析与重组。在这个过程中,我们首先需要理解NIDS的基本概念,它是一种用于监控网络...
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
07-26
大学生挑战杯-喜树根器官培养和抗癌物质喜树碱生成的研究.rar
b278视频及游戏管理平台-springboot+vue.zip(可运行源码+sql文件+)
07-26
视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。 视频及游戏管理平台是一个很好的项目,结合了后端(Spring Boot)和前端(Vue.js)技术,实现了前后端分离。
大模型应用-为Ollma开发的简单的HTML网页UI应用-附项目源码-优质项目实战.zip
最新发布
07-26
大模型应用_为Ollma开发的简单的HTML网页UI应用_附项目源码_优质项目实战
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar
07-26
基于JAVA局域网监听软件的设计与开发(源代码+论文).rar
dpdk libnids
07-25
### 回答1: DPDK(Data Plane Development Kit)是一款开源的快速数据平面开发工具集,主要用于构建高性能的数据包处理应用程序。它提供了一系列用于处理网络数据包的库和驱动程序,使开发者能够在普通服务器上实现类似网络专用设备的性能。DPDK已经被广泛应用于包括流量分析、虚拟网络功能和网络安全等领域。 而Libnids是一个网络实时入侵检测系统(NIDS)中的一个库。它被设计用于对网络流量进行分析和监控,以便及时检测和阻止入侵行为。Libnids可以从网络中捕获数据包,并解析和处理这些数据包,以进行入侵检测和分析。 DPDK和Libnids之间并没有直接的关联,它们属于不同的领域和用途。然而,由于DPDK提供了高性能的数据包处理能力,可以与Libnids等网络安全工具结合使用,用于实时入侵检测系统的构建。通过将DPDK和Libnids相结合,可以实现更高效的网络流量分析和入侵检测,提升网络的安全性和性能。 总而言之,DPDK是一款用于构建高性能数据包处理应用程序的工具集,而Libnids是一个网络实时入侵检测系统中的库。它们可以相互结合使用,实现更高效的网络流量分析和入侵检测。 ### 回答2: DPDK是数据平面开发工具包(Data Plane Development Kit)的缩写,而libnids是DPDK中的一个库。 DPDK是一个开源的软件库,旨在加速数据包处理的速度。它提供了一组用于开发高性能数据平面应用程序的API和工具。使用DPDK,开发人员可以利用硬件加速技术(如网卡的SR-IOV、GPU等)来提高数据平面应用的性能。DPDK还提供了一套完整的网络协议栈,能够高效地处理各种类型的数据包。 而libnids(Network Intrusion Detection System)是DPDK中的一个库,用于在网络中检测并分析潜在的入侵行为。它能够监视网络流量,并利用规则引擎来检测和报告潜在的攻击和异常行为。libnids可以分析各种类型的网络数据包,包括TCP、UDP、ICMP等。它还提供了一些内置的规则库,用于检测已知的攻击模式,同时也支持用户自定义的规则。 使用DPDK的libnids库,开发人员可以方便地构建高性能的网络入侵检测系统。通过与DPDK的其他功能和API结合使用,libnids可以实现对高速网络流量的实时监测和分析,提供快速准确的入侵检测能力。同时,由于DPDK的性能优势,libnids能够处理大规模高负载的网络环境,将安全性和性能发挥到极致。 总而言之,DPDK的libnids库是一个在高性能数据面开发环境下实现网络入侵检测的强大工具。它通过利用DPDK的加速能力和灵活的规则引擎,帮助开发人员构建高效、快速、可定制的网络安全系统。 ### 回答3: DPDK(Data Plane Development Kit)是一个开源的数据平面开发工具包,用于快速、高效地开发高性能的数据平面应用程序。它提供了一套功能丰富的库和驱动程序,专门用于数据包处理和网络协议栈加速。 其中,libnids是DPDK中的一个重要库,全称为"Libraries for Network Intrusion Detection System"。它是一个专门用于网络入侵检测系统的库,提供了一些功能和接口,可以用于实现高性能、实时的网络入侵检测。 libnids库主要提供了以下几个功能: 1. 网络流量重组:libnids能够将经过网络的流量进行重组,将分割的数据包片段重新组合成完整的网络数据包,方便进一步分析和处理。这在网络入侵检测中非常重要,因为入侵行为通常是由多个数据包组成的。 2. 协议解析:libnids支持解析多种网络协议,例如TCP、UDP等。它能够将解析后的协议信息提取出来,为后续的入侵检测算法提供基础数据。 3. 入侵检测模块:libnids提供了一些入侵检测算法,可以通过这些算法来对网络流量进行实时的入侵检测。这些算法基于已知的入侵行为规则或者机器学习等技术,能够高效地检测到潜在的入侵行为。 4. API接口:libnids提供了一套易用的API接口,使得开发者能够方便地在他们自己的应用程序中使用libnids库的功能。这些接口包括初始化、启动、停止等操作,以及一些回调函数,用于处理检测到的入侵行为等。 总的来说,dpdk libnids是DPDK中的一个重要库,主要用于实现高性能的网络入侵检测系统。它提供了网络流量重组、协议解析、入侵检测模块和易用的API接口等功能,可以帮助开发者快速、高效地开发出高性能的网络入侵检测应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值