【旧资料整理】libnids 隐性BUG

最新推荐文章于 2021-03-10 11:29:28 发布
最新推荐文章于 2021-03-10 11:29:28 发布
阅读量503 收藏
点赞数
分类专栏: 其他技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jlusuoya/article/details/73698438
版权
资料时间:2014年

分享时间:2014年到百度空间,空间关闭,重新整理

前段时间优化了libnids,性能提高的很明显,可是换个IDC环境部署时,竟然挂掉了。汇编调试一下core文件,从指令和寄存器来看,异常在了数组索引,最终确认是nids有个BUG:

    tcp.c中函数原代码如下:

1
2
3
4
5
6
     static  int
mk_hash_index( struct  tuple4 addr)
{
     int  hash=mkhash(addr.saddr, addr.source, addr.daddr, addr.dest);
     return  hash % tcp_stream_table_size;
}

    mkhash生成一个无符号的hash值,赋值给有符号数,再模出一个hash索引,如果hash值高位是1,就会模出负数,做为数组索引时,引起内存溢出。

    解决办法就是将变量换为无符号数:

1
2
3
4
5
static  u_int mk_hash_index( struct  tuple4 addr)
{
     u_int hash=mkhash(addr.saddr, addr.source, addr.daddr, addr.dest);
     return  hash % tcp_stream_table_size;
}

     可是,为什么nids这个BUG一直不被人所知呢?原来mkhash的代码是这么写的,最后几行如下:

1
2
3
for  (i = 0; i < 12; i++)
   res = ( (res << 8) + (data[perm[i]] ^ xor[i])) % 0xff100f;
return  res;

      算hash值时模了0x00ff100f,这样,高位恒定是0,转成有符号数也不会出错,只是,我们改进了hash算法之后,就异常了,因为与ip环境有关,所以换个IDC环境才显现出来。

     这个BUG是隐性的,如果不改nids源码,并不会影响逻辑,所以,没有考虑反馈给官方。


索疋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
libnids使用
康林工作室
03-14 1万+
Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描检测和异常数据包检测功能。 Libnids数据结构 一.基本常量 1.报警类型 enum { NIDS_WARN_
通过使用具备mmap技术的libpcap提高libnids的性能
weixin_30664051的博客
05-26 252
最近参与到的项目中使用libnids来重组TCP会话,libnids是使用libpcap来抓包的。最初安装环境的时候用到的是libpcap0.8,这个是apt-get install的时候默认的版本,但是项目在测试过程中发现性能远不能达到需求,于是查阅了相关文档,发现libpcap在1.1.0版本的changelog中提到,Changes to Linux mmapped cap...
libnids分析(2)----哈希树
网络审计
06-19 2817
哈希树初始化: void init_hash () { int i, n, j; int p[12]; getrnd (); for (i = 0; i < 12; i++) p[i] = i; for (i = 0; i < 12; i++) { n = perm[i] % (12 - i); perm[i] = p[n];
libnids的哈希及查找
Sunshine的专栏
04-24 1974
哈希的键 在Libnids中对tcp数据流的哈希关键字是“源IP、源端口、目的IP、目的端口”: //该结构描述地址及端口 struct tuple4 { u_short source; //源端口 u_short dest; //目的端口 u_int saddr; //源IP u_int daddr; //目的IP }; 哈
Libnids TCP会话重组分析
Sunshine的专栏
05-07 4771
作者:geeksword 出处:http://onestraw.net/cybersecurity/libnids-tcp-assembly 声明:本文采用以下协议进行授权: 署名-非商用|CC BY-NC 3.0 CN ,转载请注明作者及出处。 Vim源码分析环境搭建好了here,今天拿libnids练练手,虽然cscope命令才掌握几个常用的,但是阅读速度已经
自己整理libnids流程图
08-29
自己整理libnids流程图
libnids使用.zip
08-16
**libnids库详解** Libnids,全称Network Intrusion Detection System,是一个开源的、基于事件的网络入侵检测系统,主要用于分析网络流量并识别潜在的攻击行为。它基于著名的pcap库,能够捕获和解析网络数据包,...
tcp.rar_libnids
09-19
标题中的“tcp.rar_libnids”表明这是一个与TCP协议和Libnids库相关的项目或教程。Libnids是一个开源的网络嗅探库,主要用于在网络上识别和处理网络流量,特别是TCP流。这个压缩包可能包含了一个名为“tcp.c”的源...
tcp.zip_libnids 源码
09-23
《TCP/IP协议与libnids库的深度剖析》 TCP(传输控制协议)是互联网上最基础、最重要的通信协议之一,它为应用层提供了一种可靠的数据传输服务。TCP通过三次握手建立连接,通过序列号和确认应答保证数据的有序和无...
libnids.zip
08-01
**libnids库详解与TCP重组** libnids是一个开源的网络入侵检测系统(NIDS)库,主要用于处理网络数据包,实现对IP协议和TCP流的解析与重组。在这个过程中,我们首先需要理解NIDS的基本概念,它是一种用于监控网络...
java 隐性bug查找
03-22
可作为myeclipse的插件加入,可以检测java代码隐性bug
Libnids-W32-1.19
07-13
Libnids(Library Network Intrusion Detection System)是一个网络入侵检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架,并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵检测系统,并可以在此基础上进一步扩展开发。Libnids实现了入侵检测系统的底层功能,使开发者可以专注于高层的功能开发。
BeLibnids:是一个使用多进程将dpdk和libnids结合在一起,支持10G端口分析数据包的平台
07-12
BeLibnids 分析数据包使用 libnids 和 dpdk 它是一个使用多进程将dpdk和libnids结合在一起以支持10G端口分析数据包的平台。 ##0.什么是? a:它是一个使用多进程从一个或多个端口接收和处理数据包的平台。 b:它使用RSS队列和对称散列来保证一个tcp流只被一个进程处理。 c:使用多进程解决libnids资源冲突。 d:我是在CentOS 6.4和6.5下运行的,代码你都有,当然可以改。 ###技术架构 ##1.如何编译? a:编译intel dpdk“ 可以下载或使用doc/dpdk-1.5.0r2.tar.gz。 b:cd libnids-1.24/src 并编译它直到生成一个 libnids.a(我注册 nids_syslog_return 函数而不是 nids_syslog 以提高多进程中的性能) c:cd symmetric_mp
Libnids的哈希函数
Sunshine的专栏
04-15 2251
//hash.c #include #include #include #include #include #include static u_char xor[12]; static u_char perm[12]; static void getrnd () { struct timeval s; u_int *ptr; //从如下的文件中读取随机数流  int
java bug类型有哪些,Java根本数据类型的一些隐性BUG
weixin_39997795的博客
03-10 203
Java基本数据类型的一些隐性BUG对于Java的基本数据类型无非就是那四类八种:1、整数:定义:没有小数部分的数字,负数是允许的。种类:Java提供四种整数类型:byte 1个字节 -128到127short 2个字节 -32,768到32,767int 4个字节 -2,147,483,648到2,147,483,647long...
img标签的alt和title的区别以及会引发的隐性bug
LPLIFE的博客
01-13 599
img是html 中的标签,主要用来定义图像。是一个空标签,意思是说,它只包含属性,并且没有闭合标签。 必要的常用的属性: alt: 当图片加载不出来时作为替代文本出现 如下图: title:鼠标移动到元素上的提示或者说明 如下图: src:图像的url地址 height:设置图像的高度 width:设置图像的宽度 需要注意的点: src属性存在,但为空的时候,浏览器会去加载图片资源,并...
libnids中TCP/IP栈实现细节分析(上)——TCP会话重组
网络审计
06-15 1527
libnids是网络安全方面的一个库,可以用来检测网络上的攻击行为。其中最有价值的部分是,它模拟了linux内核中3层和4层的协议栈。可以供我们进一步研究linux内核中的TCP/IP协议栈做一些有价值的参考。这里简单谈谈这个库中模拟3、4层协议的实现细节(在继续读下去之前,有必要复习一下TCP/IP协议相关理论,主要是滑动窗口协议)。这里送上一张网上到处都有的TCP状态转化图,算是开胃小菜:
libnids学习笔记
stSahana的博客
03-09 5253
学习资料 [1]下载包内的doc/API.html,version:1.24 [2]http://blog.csdn.net/ningxiaowei2013/article/details/53035976 简介 ​ libnids(Network Intrusion Detection System Library),网络入侵监测系统函数库。具有重组TCP数据段、处理IP分片包和...
dpdk libnids
最新发布
07-25
4. API接口:libnids提供了一套易用的API接口,使得开发者能够方便地在他们自己的应用程序中使用libnids库的功能。这些接口包括初始化、启动、停止等操作,以及一些回调函数,用于处理检测到的入侵行为等。 总的来...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值