suricata源码解析

最新推荐文章于 2024-05-27 18:47:46 发布
最新推荐文章于 2024-05-27 18:47:46 发布
阅读量677 收藏 1
点赞数
分类专栏: opensource 文章标签: suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haibosdu/article/details/129299499
版权

SCInstanceInit

初始化suricata实例:程序名设置为程序文件名,其他变量复位。

InitGlobal


int InitGlobal(void)
{
	//调用rust代码初始化context
    rs_init(&suricata_context);
	//初始化引擎状态:
    SC_ATOMIC_INIT(engine_stage);

    /* initialize the logging subsys */
    //包括日志级别、日志格式、日志输出接口(默认屏幕)、日志输出过滤
    //后面还会用配置重新初始化一遍日志模块
    SCLogInitLogModule(NULL);
    //设置进程名,及ps看到的名字
    SCSetThreadName("Suricata-Main");

    /* Ignore SIGUSR2 as early as possible. We redeclare interest
     * once we're done launching threads. The goal is to either die
     * completely or handle any and all SIGUSR2s correctly.
     */
#ifndef OS_WIN32
    UtilSignalHandlerSetup(SIGUSR2, SIG_IGN);
    if (UtilSignalBlock(SIGUSR2)) {
        SCLogError("SIGUSR2 initialization error");
        return EXIT_FAILURE;
    }
#endif
	//初始化解析size的pcre正则表达式,用于解析xkb、xMB、xGb等
    ParseSizeInit();
    //注册运行模式
    RunModeRegisterRunModes();

    /* Initialize the configuration module. */
    //只是将配置模块初始化为一个尾队列
    ConfInit();

    return 0;
}

- RunModeRegisterRunModes

注册所有的运行模式
运行模式结构体:


/* Run mode */
enum RunModes {
    RUNMODE_UNKNOWN = 0,
    RUNMODE_PCAP_DEV,
    RUNMODE_PCAP_FILE,
    RUNMODE_PFRING,
    RUNMODE_NFQ,
    RUNMODE_NFLOG,
    RUNMODE_IPFW,
    RUNMODE_ERF_FILE,
    RUNMODE_DAG,
    RUNMODE_AFP_DEV,
    RUNMODE_AFXDP_DEV,
    RUNMODE_NETMAP,
    RUNMODE_DPDK,
    RUNMODE_UNITTEST,
    RUNMODE_NAPATECH,
    RUNMODE_UNIX_SOCKET,
    RUNMODE_WINDIVERT,
    RUNMODE_PLUGIN,
    RUNMODE_USER_MAX, /* Last standard running mode */
    RUNMODE_LIST_KEYWORDS,
    RUNMODE_LIST_APP_LAYERS,
    RUNMODE_LIST_RUNMODES,
    RUNMODE_PRINT_VERSION,
    RUNMODE_PRINT_BUILDINFO,
    RUNMODE_PRINT_USAGE,
    RUNMODE_DUMP_CONFIG,
    RUNMODE_CONF_TEST,
    RUNMODE_LIST_UNITTEST,
    RUNMODE_ENGINE_ANALYSIS,
#ifdef OS_WIN32
    RUNMODE_INSTALL_SERVICE,
    RUNMODE_REMOVE_SERVICE,
    RUNMODE_CHANGE_SERVICE_PARAMS,
#endif
    RUNMODE_DUMP_FEATURES,
    RUNMODE_MAX,
};
typedef struct RunMode_ {
    /* the runmode type */
    enum RunModes runmode;
    const char *name;//定制模式的名字,主要有single、workers、autofp
    const char *description;
    /* runmode function */
    int (*RunModeFunc)(void);//运行模式的入口函数
    void (*RunModeIsIPSEnabled)(void);
} RunMode;

typedef struct RunModes_ {
    int cnt;
    RunMode *runmodes;
} RunModes;

static RunModes runmodes[RUNMODE_USER_MAX];

ParseCommandLine

解析命令行

FinalizeRunMode

检查运行模式设置是否已设置,并确保suricata后台模式(daemon)下不能运行RUNMODE_PCAP_FILE、RUNMODE_UNITTEST两种运行模式。

StartInternalRunMode

启动内部运行模式,主要包括RUNMODE_LIST_KEYWORDS、RUNMODE_LIST_APP_LAYERS、RUNMODE_PRINT_VERSION、RUNMODE_PRINT_BUILDINFO、RUNMODE_PRINT_USAGE、RUNMODE_LIST_RUNMODES、RUNMODE_LIST_UNITTEST、RUNMODE_UNITTEST这几个运行模式,运行完响应的处理函数,直接退出程序。

GlobalsInitPreConfig

Initializations for global vars, queues, etc (memsets, mutex init…)

void GlobalsInitPreConfig(void)
{
	//初始化时间锁和时区
    TimeInit();
    //Registers the keywords(SMs) that should be given fp support.
    //g_fp_support_smlist_list:存储单模匹配链表ID和优先级的对应关系,单模匹配链表ID类型为enum DetectSigmatchListEnum
    SupportFastPatternForSigMatchTypes();
    //初始化解析阈值规则的相关正则表达式
    SCThresholdConfGlobalInit();
    //初始化一个哈希表,用于存储协议名和协议号的对应关系
    SCProtoNameInit();
    //
    FrameConfigInit();
}

LoadYamlConfig

从suricata.yaml加载配置到内存

SetupUserMode

这个是设置非system模式的情况下,把日志和数据目录设置到当前目录;suricata有system模式和user模式

InitRunAs

Initialize the user and group Suricata is to run as。即初始化suricata运行的用户名和组名

SCLogLoadConfig

读取logging.outputs配置节点,调用SCLogInitLogModule重新初始化日志模块

LogVersion

打印suricata版本和模式(user模式或system模式)

UtilCpuPrintSummary

Print a summary of CPUs detected (configured and online)。
sysconf(_SC_NPROCESSORS_CONF)返回系统可以使用的核数,但是其值会包括系统中禁用的核的数目,因此该值并不代表当前系统中可用的核数。而 sysconf(_SC_NPROCESSORS_ONLN)的返回值真正的代表了系统当前可用的核数.

ParseInterfacesList

根据运行模式,从配置读取网卡名或者设置网卡配置:
对于RUNMODE_PCAP_DEV、RUNMODE_DPDK:如果命令行未设置网卡,则从配置读取网卡名,存到设备名链表pre_live_devices。
对于RUNMODE_PFRING:将从命令行读取的网卡名存到配置节点pfring.live-interface

PostConfLoadedSetup

This function is meant to contain code that needs to be run once the configuration has been loaded.即加载完配置后首先运行这个函数。

  • MpmTableSetup:注册多模匹配算法,包括AC、ACBS、ACTile
  • SpmTableSetup:注册单模匹配算法,包括BM、hyperscan
  • StorageInit:初始化Storage,结构体如下:

typedef struct StorageMapping_ {
    const char *name;
    StorageEnum type; // host, flow, tx, stream, ssn, etc
    unsigned int size;
    void *(*Alloc)(unsigned int);
    void (*Free)(void *);
} StorageMapping;

/** \brief list of StorageMapping used at registration time */
typedef struct StorageList_ {
    StorageMapping map;
    int id;
    struct StorageList_ *next;
} StorageList;

static StorageList *storage_list = NULL;
static int storage_max_id[STORAGE_MAX];
static int storage_registration_closed = 0;
static StorageMapping **storage_map = NULL;
  • RegisterFlowBypassInfo:注册一个名为bypass_counters的FlowStorage
  • MacSetRegisterFlowStorage:在eve日志开启ethernet开关时,注册一个名为macset的FlowStorage
  • SetMasterExceptionPolicy:设置主异常策略,异常策略有:

enum ExceptionPolicy {
    EXCEPTION_POLICY_NOT_SET = 0,
    EXCEPTION_POLICY_PASS_PACKET,
    EXCEPTION_POLICY_PASS_FLOW,
    EXCEPTION_POLICY_BYPASS_FLOW,
    EXCEPTION_POLICY_DROP_PACKET,
    EXCEPTION_POLICY_DROP_FLOW,
    EXCEPTION_POLICY_REJECT,
};
  • LiveDeviceFinalize:前面获取了网卡名,这里创建对应的网卡设备信息,结构体如下:
/** storage for live device names */
typedef struct LiveDevice_ {
    char *dev;  /**< the device (e.g. "eth0") */
    char dev_short[MAX_DEVNAME + 1];
    bool tenant_id_set;

    int id;

    SC_ATOMIC_DECLARE(uint64_t, pkts);
    SC_ATOMIC_DECLARE(uint64_t, drop);
    SC_ATOMIC_DECLARE(uint64_t, bypassed);
    SC_ATOMIC_DECLARE(uint64_t, invalid_checksums);
    TAILQ_ENTRY(LiveDevice_) next;

    uint32_t tenant_id;     /**< tenant id in multi-tenancy */
    uint32_t offload_orig;  /**< original offload settings to restore @exit */
} LiveDevice;
  • RunModeEngineIsIPS:前面注册了运行模式,这里根据命令行设置最终的运行模式
  • AppLayerSetup:

/***** Setup/General Registration *****/

int AppLayerSetup(void)
{
    SCEnter();
	//初始化应用层协议检测context(主要是初始化单模匹配算法、多模匹配算法)
	//注册名为expectation的IPPairStorage和FlowStorage
    AppLayerProtoDetectSetup();
    //memset AppLayerParserCtx
    AppLayerParserSetup();
	//注册应用层处理函数
    AppLayerParserRegisterProtocolParsers();
    //SSL和IMAP在注册协议处理函数时,会注册一些模式匹配填充到alpd_ctx。这里将注册的模式填充到多模匹配总表mpm_table
    AppLayerProtoDetectPrepareState();
    //设置每个应用层协议计数器的名字
    /*typedef struct AppLayerCounterNames_ {
    char name[MAX_COUNTER_SIZE];
    char tx_name[MAX_COUNTER_SIZE];
    char gap_error[MAX_COUNTER_SIZE];
    char parser_error[MAX_COUNTER_SIZE];
    char internal_error[MAX_COUNTER_SIZE];
    char alloc_error[MAX_COUNTER_SIZE];
} AppLayerCounterNames;*/
    AppLayerSetupCounters();

    SCReturnInt(0);
}
  • ConfigGetCaptureValue

获取与包捕获相关的一些配置参数,目前包括:max-pending-packets、default-packet-size

  • SCHInfoLoadFromConfig

从配置文件中载入host os policy(主机OS策略)信息,
radix tree保存所有主机策略信息。网络入侵通常是针对某些特定OS的漏洞,因此如果能够获取部署环境中主机的OS信息,肯定对入侵检测大有裨益。

  • SigTableSetup

注册检测引擎所支持的规则格式中的关键字,比如sid、priority、msg、within、distance等等

  • SigTableApplyStrictCommandlineOption

为指定的检测关键字设置严格匹配。

  • TmqhSetup

初始化queue handler(队列处理函数),这个是衔接线程模块和数据包队列之间的桥梁,这里注册了3类handler:simple, packetpool, flow。每类handler内部都有一个InHandler和OutHandler,simple和flow的InHandler都是从inQueue队列中获取数据包,simple的OutHandler将数据包送入outQueue。packetpool的InHandler从packetpool获取数据包,OutHandler将数据包送入packetpool。

  • TagInitCtx

注册名为tag的HostStorage和FlowStorage

  • PacketAlertTagInit

初始化了tag signature和 tag packet alert structure。
tag signature we use for tag alerts。
tag packet alert structure for tag alerts。
tag signature 的sid为1.

  • ThresholdInit

注册名为threshold的HostStorage和IPPairStorage

  • HostBitInitCtx

注册名为bit的HostStorage

  • IPPairBitInitCtx

注册名为bit的IPPairStorage

  • DetectAddressTestConfVars

检测配置文件里面的address-groups配置是否正确

  • DetectPortTestConfVars

检测配置文件里面的port-groups配置是否正确

  • FeatureTrackingRegister

初始化feature_hash_table

  • RegisterAllModules

注册所有线程模块

  • AppLayerHtpNeedFileInspection

Sets a flag that informs the HTP app layer that some module in the engine needs the http request file。即设置htp_config_flags,有4个flag:HTP_REQUIRE_REQUEST_BODY、HTP_REQUIRE_REQUEST_MULTIPART、HTP_REQUIRE_REQUEST_FILE、HTP_REQUIRE_RESPONSE_BODY

  • StorageFinalize

前面注册了一些storage,存储在StorageList。这里将其挪到StorageMapping,即注册时采用链表数组形式,为了实现快速查找,将其挪到二维数组里,可通过type:id快速访问对应的storage

  • TmModuleRunInit

前面注册了各个线程模块,这里对每个模块进行初始化

  • MayDaemonize

检查是否进入Daemon模式。若需要进入Daemon模式,则会检测pidfile是否已经存在(daemon下只 能有一个实例运行),然后进行Daemonize,最后创建一个pidfile。Daemonize的主要思路是:fork->子进程调用 setsid创建一个新的session,关闭stdin、stdout、stderr,并告诉父进程 –> 父进程等待子进程通知,然后退出 –> 子进程继续执行。

  • InitSignalHandler

初始化信号handler。首先为SIGINT(ctrl-c触发)和SIGTERM(不带参数kill时触发)这两个常规退出信号分别注册handler,对SIGINT的处理是设置程序的状态标志为STOP,即让程序优雅地退出;而对SIGTERM是设置为KILL,即强杀。接着,程序会忽略SIGPIPE(这个信号通常是在Socket通信时向已关闭的连接另一端发送数据时收到)和SIGSYS(当进程尝试执行一个不存在的系统调用时收到)信号,以加强程序的容错性和健壮性。

  • ConfigGetLogDirectory

获取程序日志目录

  • ConfigCheckLogDirectoryExists

检查日志目录是否存在

  • IsLogDirectoryWritable

检查日志目录是否可写

  • HostInitConfig

initializing host engine:读取配置文件host节点的hash-size, prealloc, memcap配置,初始化大小为hash-size、元素为HostHashRow的hash,并预分配prealloc个Host,放在host_spare_q里面。

  • CoredumpLoadConfig

Configures the core dump size

  • DecodeGlobalConfig

加载解码器decoder配置,设置packet_alert_max(后面会分配packet_alert_max个PacketAlert)

  • PostConfLoadedSetupHostMode

设置Host mode: set if box is sniffing only or is a router

  • PreRunInit

/* initialization code for both the main modes and for
 * unix socket mode.
 *
 * Will be run once per pcap in unix-socket mode */
void PreRunInit(const int runmode)
{
	//初始化一个名为byterange的hash,不知道干啥用的
    HttpRangeContainersInit();
    if (runmode == RUNMODE_UNIX_SOCKET)
        return;
	//初始化stats_ctx:Holds the output interface context for the counter api
    StatsInit();
#ifdef PROFILING
    SCProfilingRulesGlobalInit();
    SCProfilingKeywordsGlobalInit();
    SCProfilingPrefilterGlobalInit();
    SCProfilingSghsGlobalInit();
    SCProfilingInit();
#endif /* PROFILING */
	//初始化IP分片重组模块
    DefragInit();
    //初始化flow_hash
    FlowInitConfig(FLOW_QUIET);
    //初始化ippair_hash
    IPPairInitConfig(FLOW_QUIET);
    //初始化Stream TCP配置。其中调用了StreamTcpReassembleInit函数进行重组模块初始化
    StreamTcpInitConfig(STREAM_VERBOSE);
    //为流深度设置一个默认值
    AppLayerParserPostStreamSetup();
    // 注册应用层全局计数器
    AppLayerRegisterGlobalCounters();
    //Register a file data output module
    OutputFilestoreRegisterGlobalCounters();
}

SCDropMainThreadCaps

去除主线程的权限。这个是通过libcap-ng实现的,首先调用capng_clear清空所有权限,然后根据运行模式添加一些必要权限(主要是为了抓包),最后调用capng_change_id设置新的uid和gid。主线程的权限应该会被新建的子线程继承,因此只需要在主线程设置即可。

CoredumpEnable

Enable coredumps on systems where coredumps can and need to be enabled.

PreRunPostPrivsDropInit

/* tasks we need to run before packets start flowing,
 * but after we dropped privs */
void PreRunPostPrivsDropInit(const int runmode)
{
	//Initializes stats context
    StatsSetupPostConfigPreOutput();
    //Initialize the output modules
    //前面注册线程模块时注册了日志模块,这里初始化输出日志模块,并激活
    RunModeInitializeOutputs();
    DatasetsInit();

    if (runmode == RUNMODE_UNIX_SOCKET) {
        /* As the above did some necessary startup initialization, it
         * also setup some outputs where only one is allowed, so
         * deinitialize to the state that unix-mode does after every
         * pcap. */
        PostRunDeinit(RUNMODE_PCAP_FILE, NULL);
        return;
    }

    StatsSetupPostConfigPostOutput();
}

PostConfLoadedDetectSetup

void PostConfLoadedDetectSetup(SCInstance *suri)
{
    DetectEngineCtx *de_ctx = NULL;
    if (!suri->disabled_detect) {
    	//初始化解析规则classtype的正则表达式
        SCClassConfInit();
        //初始化解析reference的正则表达式
        SCReferenceConfInit();
        //设置是否延迟检测。若delayed-detect为yes,则系统将在载入规则集之前就开始处理数据包,这样能够在IPS模式下减少系统的down time(宕机时间)
        SetupDelayedDetect(suri);
        int mt_enabled = 0;
        (void)ConfGetBool("multi-detect.enabled", &mt_enabled);
        int default_tenant = 0;
        if (mt_enabled)
            (void)ConfGetBool("multi-detect.default", &default_tenant);
        if (DetectEngineMultiTenantSetup(suri->unix_socket_enabled) == -1) {
            FatalError("initializing multi-detect "
                       "detection engine contexts failed.");
        }
        if (suri->delayed_detect && suri->run_mode != RUNMODE_CONF_TEST) {
            de_ctx = DetectEngineCtxInitStubForDD();
        } else if (mt_enabled && !default_tenant && suri->run_mode != RUNMODE_CONF_TEST) {
            de_ctx = DetectEngineCtxInitStubForMT();
        } else {
            de_ctx = DetectEngineCtxInit();
        }
        if (de_ctx == NULL) {
            FatalError("initializing detection engine failed.");
        }

        if (de_ctx->type == DETECT_ENGINE_TYPE_NORMAL) {
            if (LoadSignatures(de_ctx, suri) != TM_ECODE_OK)
                exit(EXIT_FAILURE);
        }

        gettimeofday(&de_ctx->last_reload, NULL);
        DetectEngineAddToMaster(de_ctx);
        DetectEngineBumpVersion();
    }
}

SCSetStartTime

设置suricata开始时间

RunModeDispatch

获取suricata运行模式,调用对应的运行模式函数,创建flow管理线程(只有一个FlowManager模块)、flow回收线程(只有一个FlowRecycler模块)、StatsWakeupThread、StatsMgmtThread

TmThreadWaitOnThreadInit

等待所有线程初始化完成

SC_ATOMIC_SET(engine_stage, SURICATA_RUNTIME);

设置引擎状态为RUNTIME

PacketPoolPostRunmodes

Set the max_pending_return_packets value

TmThreadContinueThreads

Un-pause all the paused threads

TmThreadWaitOnThreadRunning

Waits for all threads to be in a running state

PostRunStartedDetectSetup

注册信号处理函数,重新加载检测引擎

东莞从良记
关注
专栏目录
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6774
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
Suricata之源代码(一)
qianligaoshan的专栏
04-09 3001
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
suricata 3.1 源码分析20 (数据包封装)
superbfly的专栏
09-23 3236
Suricata中,用来封装数据包的结构体为Packet,核心字段如下: 字段 含义 src/dst、sp/dp、proto 五元组信息:源/目的地址,源/目的端口号,传输层协议(TCP/UDP/…)。 flow 数据包所属的流指针(类型为Flow_ *)。 ip4h、ip6h 网络层数据指针。 tcph、udph、sctph、icmpv4/6h 传输层数据指
Suricata源码解析-开启从小白到小白必经之路
最新发布
qq_54078539的博客
05-27 262
Suricata源码分析
suricata 3.1 源码分析1
superbfly的专栏
08-26 4250
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
suricata 3.1 源码分析6
superbfly的专栏
09-02 1803
if (suri.run_mode != RUNMODE_UNIX_SOCKET) { FlowInitConfig(FLOW_VERBOSE); 初始化Flow engine。用来表示一条TCP/UDP/ICMP/SCTP流的,程序当前所记录的所有流便组成了流表,在flow引擎中,流表为flow_hash这个全局变量,其类型为FlowBucket *,而FlowBucket
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 2641
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进行规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4720
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 814
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
Suricata-开源
07-06
Suricata能够实时分析网络流量,并通过规则匹配、协议解析、行为分析等技术来识别潜在的威胁。 【描述】"它是一个基于 PHP 和 PHP::DB 的项目管理员管理器,能够管理任务、资源并生成甘特图和作业条目图表。" ...
suricata 3.1 源码分析10
superbfly的专栏
09-08 2154
/* In Unix socket runmode, Flow manager is started on demand */ if (suri.run_mode != RUNMODE_UNIX_SOCKET) { /* Spawn the unix socket manager thread */ int unix_socket =
suricata 3.1 源码分析3
superbfly的专栏
08-30 2873
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
Suricata之源代码(三)
qianligaoshan的专栏
04-13 2825
这次我
suricata 3.1 源码分析4
superbfly的专栏
08-31 2762
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小写字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1855
在前面我
suricata 3.1 源码分析12
superbfly的专栏
09-12 1981
int engine_retval = EXIT_SUCCESS; while(1) { if (sigterm_count) { suricata_ctl_flags |= SURICATA_KILL; } else if (sigint_count) { suricat
Surciata源码分析之IpsNFQ模式(1)
Firedb的专栏
05-18 6923
最近看了一下suricata-1.2.1的源代码,加之之前在网上没有搜到关于suricata分析资料,所以就把看源码时的一些笔记整理了一下,发到网上,供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客,不足之处还望看到此文章的网友见谅! 先还是进行简要的介绍一下,Suricata 是一个网络入侵检测和阻止引擎,由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多
suricata源码分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata源代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其源码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata源码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,源码分析也是学习和贡献开源项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开源入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata源码进行分析有助于深入了解其工作原理和实现方式。 Suricata源码分析主要包括以下方面: 1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata源码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata源码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata源码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata源码分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值