Snort总结-程序结构

最新推荐文章于 2024-05-03 21:46:19 发布
最新推荐文章于 2024-05-03 21:46:19 发布
阅读量3.2k 收藏 5
点赞数
分类专栏: # IDS--入侵检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ftxc_blog/article/details/12565771
版权


阅读源代码后绘制,大致描述系统的主要函数调用情况图,原图visio绘制,需要可以联系。

逻辑结构图


      规则处理模块
rules.h定义了生成二维规则链表的各种类型变量的数据结构。
parser.c(h)规则解析。
detect.c(h)处理规则部信息,构造规则链表。
pcrm.c(h)构造快速匹配的规则链表的辅助函数。
fpcreate.c(h)构造快速匹配的规则链表。
fpdetect.c(h)用于快速规则匹配检测。
      预处理插件模块
保存在\preprocessors子目录中的文件。实现http解码、数据包分片检查和端口扫描检测等。
      处理插件模块
保存在\detection-plugins子目录中的文件。实现不同类型的检测规则。可以很容易的从文件名得知所实现的规则,例如:spdsizecheck.c针对的是包的数据大小,sp_icmp_type_check.c针对的是ICMP包的类型,sp_tcp_flag_check.c针对的是TCP包的标志位,还有规则选项的模式匹配文件spalem_match.c等等。
      输出插件模块
保存在\output-plugins子目录中的文件。实现输出规则,以不同的方式记录事件。例如:yslog,tcpdump等。
      日志模块
log.c(h)实现日志和报警功能。
     辅助模块
ubiBinTree.c(h)实现一个简单的二叉树。
ubi_SplayTree.c(h)实现了一个伸展的二叉树和相关的功能。
tag.c(h)实现与tag有关的高级日志操作。
vmstring.c(h)实现字符串匹配Boyer-Moore算法。
strlcatu.c(h)文件只有一个函数strlcat(dst,src,siz),实现把src字符串追加到dst的后面,siz用来限定dst的最终长度。
strlcpyu.c(h)文件只有一个函数strlcpy(dst,src,siz),实现把src字符串拷贝到dst,siz用来限定复制的长度。
snprintf.c(h)定义了一些增强的输出函数,由configure决定是否使用。
codes.c(h)定义了unicode_entry结构以及unicode_entry类型的数组。
unicode_data,该数组包含了建立unicode与ASCII码之间的映射所需的数据。
debug.c(h)定义了debug的级别和GetDebugLevel函数获取相应得Debug级别,DebugMessageFunc函数确认Debug参数变量的格式化输出。

非同_寻常
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
snort学习笔记
weixin_30858241的博客
08-13 399
  Snort有三种工作模式:嗅探器、数据包记录器、网络入侵检测系统(ids)。   嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。   数据包记录器模式把数据包记录到硬盘上。   网络入侵检测模式是最复杂的,而且是可配置的。可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。   Snort能够对网络上的数据包进行抓包分析,但区...
SNORT源码分析
12-07 2244
SNORT源码分析Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究一下它的源码到是非常不错.首先对snort做一个概括的评论。 从工作原理而言,snort是一个NIDS。[注:基于网络的入侵检测系统(NIDS)在网络的一点被动地检查原始的网络传输数据。通过分析检查的数据包,NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行
入侵检测与网络欺骗
最新发布
JAZJD的博客
05-03 1465
在这个信息技术高速发展的时代,网络安全已迅速上升为政府、企业乃至个人高度关注的全球性议题。随着技术的进步,网络攻击不仅数量激增,形式和手段也日趋多样化和智能化,从基本的病毒感染到复杂的针对性网络攻击,构成了对信息系统安全的严峻挑战。在这样的背景下,建立强大的网络防御体系,其中入侵检测系统(IDS)和网络欺骗技术成为了抵御和预防网络威胁的关键技术之一。本文旨在全面剖析入侵检测和网络欺骗的基本理论、主要技术手段、典达示例及其在现实世界的应用场景,以向读者展示如何通过这些先进的技术策略来增强网络安全防护能力。
Snort分析
starshift的专栏
12-19 3687
Snort分析 Snort的程序架构       Snort 由几大软件模块组成,这些软件模块采用插件方式与Snort 结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等。Snort程序的基本框架如下图所示:   图1  Snort程序的框架图Snort的源代码结构:snort 源代码主要由以下几个主要部分构成: snort. c snor
Snort规则检测引擎--架构解析
网络安全研究
08-24 1995
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则库中,规则库中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
snort 源码分析之规则结构分析(一)
guoguangwu的专栏
03-10 3328
snort中比较复杂的结构很多,今天和大家分享一下snort的规则设计的数据结构:规则头和规则选项 先从一条规则实例开始分析: alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"MALWARE-CNC GzWaaa outbound data connection"; flow:to_server,established...
snort3-community-rules.tar.gz
04-09
snort3社区提供的免费规则匹配文件,在官网上开放下载,但因为本身挂载在亚马逊服务器上,在国内下载可能不是很方便,所以这里上传一份方便大家来下载 # 2021-7-8 将系统动态调分提高到50积分的价格重新降回了5分
入侵检测系统Snort v3.0-snort3-community-rules.tar.gz规则文件
12-09
入侵检测系统Snort v3规则文件,Talos Rules 2022-12-08
snort-3.0.0-243-cmake.tar.gz
03-14
"snort-3.0.0-243-cmake.tar.gz" 是Snort的一个特定版本,编号为3.0.0,版本号243,表明这是一个基于CMake构建系统的源码包。CMake是一种跨平台的自动化构建工具,用于管理项目的构建过程,简化在不同操作系统上的...
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip中。 还有公共版本的snort2-community-rules.tar。 喷...
Snort框架分析
ljl1704的专栏
01-07 1260
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort中的插件有3类,输出插件,预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第三方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
snort体系结构图
02-17
snort图文框架,让人更加进一步理解入侵检测系统代码实现原理框架图形
snort源码分析笔记
05-06
很全面的snort源码分析资料。其中还有snort源码分析的电子书,是学习snort整体架构,初步了解snort系统的很好的资料。
snort程序主函数结构图
09-08
snort程序主函数结构图、visio绘制,可能有部分函数描述错误,敬请谅解,系统版本不一致可能导致部分函数变化较大,本结构图只做参考
Snort之架构框架(一)
工作、生活
06-01 2793
<br /> <br />snort有很多运行模式<br />如:<br /> <br />#define MODE_PACKET_DUMP    1<br />#define MODE_PACKET_LOG     2<br />#define MODE_IDS            3<br />#define MODE_TEST           4<br />#define MODE_RULE_DUMP      5<br />#define MODE_VERSION        6<br />
Snort总结-系统结构
非同╰_╯寻常
10-10 1629
1)    主控模块实现的功能包括所有模块的初始化、命令行参数解释、配置文件解释、数据包捕获库Libpcap的初始化,然后调用Libpcap开始捕获数据包,初始化插件链表,初始化预处理插件,读入规则,形成规则匹配数据结构,规则快速匹配数据结构和输出数据结构。 2)    解码模块把从网络上抓取的原始数据,从下向上沿各个协议进行解码并填相应的数据结构,以便规则处理模块处理。 3)    预处理模块
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6278
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数中 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
Snort的工作原理
热门推荐
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
snort源码分析
安子自语
12-31 2592
http://www.cppblog.com/iniwf/archive/2012/05/18/77468.html OTN存储在hash表中 RTN独立存储,和OTN关联;多个OTN可能对应同一个RTN。 alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any  ---------------------------
snort -dev -l /var/log/snort -h 192.168.252.139 -c /etc/snort/snort.conf
08-23
- `-c /etc/snort/snort.conf`:指定 snort 的配置文件路径为 `/etc/snort/snort.conf`。 这条命令将启动 snort 并开始监听指定的网络接口,所有检测到的事件将被记录到 `/var/log/snort` 目录下的日志文件中。 请...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值