【旧资料整理】libnids 隐性BUG

最新推荐文章于 2021-03-10 11:29:28 发布
最新推荐文章于 2021-03-10 11:29:28 发布
阅读量533 收藏
点赞数
分类专栏: 其他技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jlusuoya/article/details/73698438
版权
资料时间:2014年

分享时间:2014年到百度空间,空间关闭,重新整理

前段时间优化了libnids,性能提高的很明显,可是换个IDC环境部署时,竟然挂掉了。汇编调试一下core文件,从指令和寄存器来看,异常在了数组索引,最终确认是nids有个BUG:

    tcp.c中函数原代码如下:

1
2
3
4
5
6
     static  int
mk_hash_index( struct  tuple4 addr)
{
     int  hash=mkhash(addr.saddr, addr.source, addr.daddr, addr.dest);
     return  hash % tcp_stream_table_size;
}

    mkhash生成一个无符号的hash值,赋值给有符号数,再模出一个hash索引,如果hash值高位是1,就会模出负数,做为数组索引时,引起内存溢出。

    解决办法就是将变量换为无符号数:

1
2
3
4
5
static  u_int mk_hash_index( struct  tuple4 addr)
{
     u_int hash=mkhash(addr.saddr, addr.source, addr.daddr, addr.dest);
     return  hash % tcp_stream_table_size;
}

     可是,为什么nids这个BUG一直不被人所知呢?原来mkhash的代码是这么写的,最后几行如下:

1
2
3
for  (i = 0; i < 12; i++)
   res = ( (res << 8) + (data[perm[i]] ^ xor[i])) % 0xff100f;
return  res;

      算hash值时模了0x00ff100f,这样,高位恒定是0,转成有符号数也不会出错,只是,我们改进了hash算法之后,就异常了,因为与ip环境有关,所以换个IDC环境才显现出来。

     这个BUG是隐性的,如果不改nids源码,并不会影响逻辑,所以,没有考虑反馈给官方。


索疋
关注
专栏目录
java 隐性bug查找
03-22
可作为myeclipse的插件加入,可以检测java代码隐性bug
BeLibnids:是一个使用多进程将dpdk和libnids结合在一起,支持10G端口分析数据包的平台
07-12
BeLibnids 分析数据包使用 libnids 和 dpdk 它是一个使用多进程将dpdk和libnids结合在一起以支持10G端口分析数据包的平台。 ##0.什么是? a:它是一个使用多进程从一个或多个端口接收和处理数据包的平台。 b:它使用RSS队列和对称散列来保证一个tcp流只被一个进程处理。 c:使用多进程解决libnids资源冲突。 d:我是在CentOS 6.4和6.5下运行的,代码你都有,当然可以改。 ###技术架构 ##1.如何编译? a:编译intel dpdk“ 可以下载或使用doc/dpdk-1.5.0r2.tar.gz。 b:cd libnids-1.24/src 并编译它直到生成一个 libnids.a(我注册 nids_syslog_return 函数而不是 nids_syslog 以提高多进程中的性能) c:cd symmetric_mp
Libnids的哈希函数
Sunshine的专栏
04-15 2304
//hash.c #include #include #include #include #include #include static u_char xor[12]; static u_char perm[12]; static void getrnd () { struct timeval s; u_int *ptr; //从如下的文件中读取随机数流  int
java bug类型有哪些,Java根本数据类型的一些隐性BUG
weixin_39997795的博客
03-10 239
Java基本数据类型的一些隐性BUG对于Java的基本数据类型无非就是那四类八种:1、整数:定义:没有小数部分的数字,负数是允许的。种类:Java提供四种整数类型:byte 1个字节 -128到127short 2个字节 -32,768到32,767int 4个字节 -2,147,483,648到2,147,483,647long...
通过使用具备mmap技术的libpcap提高libnids的性能
weixin_30664051的博客
05-26 268
最近参与到的项目中使用libnids来重组TCP会话,libnids是使用libpcap来抓包的。最初安装环境的时候用到的是libpcap0.8,这个是apt-get install的时候默认的版本,但是项目在测试过程中发现性能远不能达到需求,于是查阅了相关文档,发现libpcap在1.1.0版本的changelog中提到,Changes to Linux mmapped cap...
libnids使用
热门推荐
康林工作室
03-14 1万+
Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描检测和异常数据包检测功能。 Libnids数据结构 一.基本常量 1.报警类型 enum { NIDS_WARN_
自己整理libnids流程图
08-29
自己整理libnids流程图
Libnids-W32-1.19.rar_Libnids-W32-1.19_Libnids-win32_libnids post
09-19
入侵检测libnids工具包,适合于windows 系统的
libnids使用.zip
08-16
**libnids库详解** Libnids,全称Network Intrusion Detection System,是一个开源的、基于事件的网络入侵检测系统,主要用于分析网络流量并识别潜在的攻击行为。它基于著名的pcap库,能够捕获和解析网络数据包,...
Libnids-1.19-win32-rebuid.zip
01-25
Libnids-1.19-win32-rebuild:Windows平台上的网络入侵检测系统库》 Libnids,全称“Lightweight Intrusion Detection System”,是一个轻量级的网络入侵检测系统(Network Intrusion Detection System,NIDS),...
Libnids-W32-1.19
07-13
Libnids(Library Network Intrusion Detection System)是一个网络入侵检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架,并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵检测系统,并可以在此基础上进一步扩展开发。Libnids实现了入侵检测系统的底层功能,使开发者可以专注于高层的功能开发。
libnids_TCP.rar_C++ TCP_build589_libnids_tcp
09-21
在build589版本中,libnids可能已经进行了一些优化和改进,这包括性能提升、bug修复或者增加了新的功能。因此,研究这一版本的源代码可以帮助我们了解最新版本的libnids在处理TCP协议时的策略和方法。 使用libnids...
libnids 分析笔记
qinggebuyao的专栏
06-27 6913
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
linux安装memached
fwx02的专栏
03-06 181
一、安装gcc # yum -y install gcc 二、安装libevent # wget http://www.monkey.org/~provos/libevent-2.0.12-stable.tar.gz # tar zxf libevent-2.0.12-stable.tar.gz # cd libevent-2.0.12-stable #./configure --prefix=...
libnids
weixin_34304013的博客
03-23 309
一、简介   libnids的英文意思是 Network Intrusion Detect System library,即网络入侵监测系统函数库。它是在前面介绍的两种C函数接口库libnet和libpcap的基础上开发的,封装了开发NIDS所需的许 多通用型函数。linids提供的接口函数监视流经本地的所有网络通信,检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端 ...
Nids.h详细注释
【像男人一样去战斗】︻╋████◤
03-03 1241
#ifndef _NIDS_NIDS_H #define _NIDS_NIDS_H #define NIDS_MAJOR 1     /* 主版本号 */ #define NIDS_MINOR 20    /* 次版本号 */
底层网络开发库之libnids
Jitonm's Zone
12-08 2779
 一、简介    libnids的英文意思是 Network Intrusion Detect System library,即网络入侵监测系统函数库。它是在前面介绍的两种C函数接口库libnet和libpcap的基础上开发的,封装了开发NIDS所需的许多通用型函数。linids提供的接口函数监视流经本地的所有网络通信,检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端口
基于libnids的TCP数据流的还原(多线程实现)
edison0716的专栏
01-03 3303
 我们知道,libnids本身可以实现TCP数据流的重组,但是如果一个TCP流数据量比较大的时候,就会分成好多个TCP报文段,这些报文段在网络中的传播可能是乱序的,利用libnids可以帮助我们按顺序接收到这些报文段,即实现TCP报文段的重组。    但是我们如何把这些顺序的报文段重新还原成一个完整的数据文件,也是要考虑的一个问题,因为在很多时候,单个的报文段对我们的意义不大,我们需要一个完整
mkvirtualenv : command not found(Ubuntu)
与其临渊羡鱼,不如进而结网。
04-15 5062
项目背景: 目的是想在阿里云服务器上部署一个Django项目,看着教程摸着石头过河。 于是进入了Ubuntu的环境: 我安装好了: sudo apt-get install python-virtualenv sudo easy_install virtualenvwrapper 但是执行命令创建虚拟环境就是不行: mkvirtualenv [虚拟环境名称] 然后我...
Libnids入门:数据结构与安装教程
Libnids入门指南 Libnids,全称为Library Network Intrusion Detection System,是一个专为网络入侵检测系统开发的高级编程接口。它基于两个核心库Libpcap和Libnet,旨在提供高效的数据包捕获、重组、TCP流量分析及...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值