snort规则解析源码分析

最新推荐文章于 2024-04-11 00:52:37 发布
最新推荐文章于 2024-04-11 00:52:37 发布
阅读量900 收藏
点赞数 2
分类专栏: snort 文章标签: snort
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhjsx0518/article/details/108512638
版权

 

 

init_policies

遍历sc->policy_map->ips_policy_count()和sc->policy_map->inspection_policy_count(),设置ips_policy->policy_mode和inspection_policy->policy_mode

ParseRules

  1. 遍历sc->policy_map->ips_policy_count()
  2. 通过sc->policy_map->get_ips_policy(idx)获取IpsPolicy
  3. 判断p->includer不为空,则执行push_parse_location,ParseConfigFile,pop_parse_location。push_parse_location函数创建loc对象,并将loc入栈;

ParseConfigFile函数通过状态机解析规则;

pop_parse_location函数将loc出栈。

  1. 判断!p->rules.empty(),并执行3中流程
  2. 判断!idx and !s_aux_rules.empty(),并执行3中流程
  3. 判断!idx and sc->stdin_rules,并执行3中流程
  4. 调用PortTablesFinish。

 

PortTablesFinish

  1. 分别将port_tables->ip.src,port_tables->ip.dst,port_tables->icmp.src,port_tables->icmp.dst,port_tables->tcp.src,port_tables->tcp.dst,port_tables->udp.src,port_tables->udp.dst调用finish_portlist_table函数
  2. 分别将port_tables->ip.any->rule_list,port_tables->icmp.any->rule_list,port_tables->tcp.any->rule_list,port_tables->udp.any->rule_list,port_tables->svc_any->rule_list等调用RuleListSortUniq,该函数将上面的链表按照数据部分进行排序。数据部分为int类型的rule id。

 

finish_portlist_table

  1. 调用函数PortTableSortUniqRules,将pt->pt_polist中的每个PortObject的rule_list按照ruleid进行排序;先遍历p->pt_polist,它的每一个成员是PortObject,然后遍历PortObject po->rule_list按照rule id进行排序
  2. 调用PortTableCompile,其中调用PortTableCompileMergePortObjects函数:

创建p->pt_mpo_hash表,数据成员为PortObject

创建p->pt_mpxo_hash表,数据成员为plx_t

  1. 调用create_port_lists,将p->pt_polist转换成数组,下标为端口号,成员为PortObject组成的链表。先遍历p->pt_polist得到每一个PortObject,然后遍历po->item_list,每个成员为PortObjectItem,取出端口号,并按照端口号作为下标,存放PortObject到数组中。
  2. 按照端口号,遍历3中得到的数组,取出数组中的PortObject对象,将其保存在pol中,调用PortTableCompileMergePortObjectList2函数:

根据PortObject中规则数量的多少,分别存放在polarge或者posmall中,数量多的po放在polarge中,数量少的po放在posmall中

分别对polarge和posmall按照地址进行排序

分别将地址封装在plx_large和plx_small中

分别调用_merge_N_pol对polarge和posmall进行合并,得到ponew和posnew

如果ponew和posnew不为空且不相同,根据posnew->rule_hash复制到ponew->rule_hash中

  1. 释放optimized_pl数组占用的空间
  2. 遍历mhashx hash表,其中每个成员为PortObject2,使用new PortBitSet初始化PortObject2中的port_list
  3. 遍历pt_port_object,取出PortObject2对象,如果port_list不为空,则为port_list->set设置位
  4. 遍历mhashx,取出PortObject2对象po
  5. 将po->port_list中置位状态保存到数组parray
  6. 在函数PortObjectItemListFromBits中根据parray生成一个PortObjectItem链表plist
  7. 释放po->item_list,使用plist赋值给po->item_list

 

OrderRuleLists

  1. 调用mSplit,得到toks和num_toks
  2. 遍历num_toks,内部遍历sc->rule_lists node,如果toks[i]和 node->name相同,将节点node从sc->rule_lists上取下,放入链表ordered_list尾部;否则,就跳过node
  3. 遍历sc->rule_lists,将其上剩余的node节点也放入ordered_list尾部
  4. 修改sc->rule_lists为ordered_list

 

fpCreateFastPacketDetection

  1. 调用fpCreatePortGroups
  2. 调用fpCreateRuleMaps
  3. 调用fpCreateServicePortGroups

 

fpCreatePortGroups

  1. 分别为p->ip.src,p->ip.dst,p->icmp.src,p->icmp.dst,p->tcp.src,p->tcp.dst,p->udp.src,p->udp.dst,调用 fpCreatePortTablePortGroups
  2. 在fpCreatePortObject2PortGroup中:

遍历pt_mpo_hash表,成员为PortObject2 po,调用fpCreatePortObject2PortGroup,为po创建PortGroup

fpCreatePortObject2PortGroup

  1. PortObject2* po,如果po为空,或者po->rule_hash位空,则返回
  2. 创建一个portgroup
  3. 将pox = po
  4. 遍历pox->rule_hash,取出数据prindex,根据prindex调用parser_get_rule_ids获取gid,sid
  5. 调用OtnLookup获取otn
  6. 如果otn->snort_protocol_id为网络协议,调用fpAddPortGroupRule

调用get_fp_content,获取pmv,如果pmv不为空,则

获取offload_search_api,如果offload_search_api与search_api不相同,则

继续调用get_fp_content,获取pmv_ol,如果pmv_ol不为空,设置add_to_offload为true,否则设置cont为false

如果cont为true,初始化agent,初始化pg->mpsegrp[main_pmd->pm_type],调用pg->mpsegrp[main_pmd->pm_type]->create_normal_mpse(sc, &agent)

如果add_to_offload为true,初始化agent_offload,调用pg->mpsegrp[main_pmd->pm_type]->create_offload_mpse

如果pg->mpsegrp[main_pmd->pm_type]->normal_mpse为true,调用fpFinishPortGroupRule,调用fpAddAlternatePatterns

如果ol_pmd and pg->mpsegrp[main_pmd->pm_type]->offload_mpse为true,则调用fpFinishPortGroupRule,调用fpAddAlternatePatterns

  1. 调用fpFinishPortGroup

 

 

fpFinishPortGroup

  1. 如果pg->mpsegrp[i]和pg->mpsegrp[i]->normal_mpse均不为空,调用pg->mpsegrp[i]->normal_mpse->get_pattern_count(),如果返回值不等于0,同时!sc->test_mode() or sc->mem_check()为true,则调用pg->mpsegrp[i]->normal_mpse->prep_patterns(sc);如果返回值等于0,则调用MpseManager::delete_search_engine(pg->mpsegrp[i]->normal_mpse)
  2. 如果pg->mpsegrp[i]->offload_mpse不为空,pg->mpsegrp[i]->offload_mpse->get_pattern_count() != 0且!sc->test_mode() or sc->mem_check(),则调用 pg->mpsegrp[i]->offload_mpse->prep_patterns(sc);否则调用MpseManager::delete_search_engine(pg->mpsegrp[i]->offload_mpse)
  3. 遍历pg->nfp_head,调用otn_create_tree;
  4. 调用finalize_detection_option_tree

 

 

 

 

 

lhjsx0518
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cxf调用接口的几种方式_如何使用CXF调用webservice接口
weixin_36033417的博客
12-23 4970
展开全部webservice的调用,常用的大约有3种方式:1、使用axis调用2、使用xfire调用3、使用cxf调用项目中,采用axis进行调62616964757a686964616fe58685e5aeb931333339663966用,记录如下,备忘:ps教程:想当年的时候是用的xfire方式调用的,结果没做记录,现在已经完全记不得怎么玩了。所以说要多写博客啊 t_t版本说明:aixs版本...
超详细 snort源码分析
04-27
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System)
Snort 入侵检测系统源码分析--独孤九贱.pdf
08-29
该资源是带目录标签的,是我一个个加上的,里面的内容好像是老版本,snort 2.2,代码结构虽然与现在最新版本的不完全相同,但流程大体不差,各位只要真心想学,还是很容易看懂的
snort源码笔记分析
11-06
本文是自己在阅读snort时做的笔记,和画的一些数据结构变换图,包括如何解析规则,如何形成otn和rtn等。
【网络安全实验】snort实现高级IDS,2024年最新2024-2024字节跳动网络安全面试真题解析
最新发布
2401_84240742的博客
04-11 805
Snort的安装目录#存储过滤规则和服务器黑白名单#创建日志目录#调整权限。
Snort3:新一代开源网络入侵检测系统
gitblog_00099的博客
03-23 423
Snort3:新一代开源网络入侵检测系统 项目地址:https://gitcode.com/snort3/snort3 项目简介 Snort3 是一个强大的开源网络安全工具,用于实时流量监控、网络入侵检测和预防。作为 Snort 系列的最新版本,Snort3 提供了显著的性能提升和现代化的设计,使它成为企业级安全解决方案的理想选择。 技术分析 高效与可扩展性 Snort3 利用了多线程处理和事件驱...
Snort源码分析
bobozai86的博客
07-26 5178
       Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包截获库函数接口Libpcap的基础上,Libpcap为他们提供了一个可移植的数据包截获和过滤机制。 snort源代码主要由以下几个主要部分构成: snort.c   s...
snort 源码分支之规则结构分析(三)
guoguangwu的专栏
03-12 929
前面介绍了规则头数据结构分析解析和匹配过程。接下来分析规则选项的数据结构和解析、匹配过程。 /* * 规则匹选项配数据结构 */ typedef struct _OptFpList { /* context data for this test */ /* 匹配时传入的参数option_data, 例如 PatternMatchData*/ void *conte...
CXF超时设置
wsdhla的专栏
12-29 1441
CXF超时设置
WebService—CXF—实现接口发布和客户端调用
lgxzzz的博客
09-25 2501
(一)接口发布的几种方式 定义接口: @WebService(targetNamespace="http://www.itfad.net/queryUser") public interface IQueryUser { String query(@WebParam(name = "user") UserInfo user); } 实现类: @WebService(endpointInterface="net.itfad.services.IQueryUser")
Java调用CXF WebService接口的两种方式实例
xyl的博客
02-15 1163
通过http://localhost:7002/card/services/HelloWorld?wsdl访问到xml如下,说明接口写对了。 1.静态调用 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 // 创建WebService客户端代理工厂 JaxWsProxyFactoryBean factory = new JaxW
Snort3:规则语法规范(三)
魔神8号的博客
11-16 981
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
JAVA 用 Apache CXF 调用 .NET 服务端 WebService 代码
11-23
JAVA 用 Apache CXF 调用 .NET 服务端 WebService 代码 整个JAVA工程的压缩,导入到myeclipse可直接运行,如果只想浏览下,请访问:http://blog.csdn.net/wqmain/article/details/8216331
snort源码
05-07
比较新的网络嗅探器snort源码
snort源码分析.rar
12-10
Snort由几大软件模块组成,这些软件模块采用插件方式与Snort结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等,开发人员也可以加入自己编写的模块来扩展Snort功能。所有这些子模块都建立在数据包...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
SNORT源码分析
12-07 2244
SNORT源码分析Snort作为一个轻量级的网络入侵检测系统,在实际中应用可能会有些力不从心,但如果想了解研究IDS的工作原理,仔细研究一下它的源码到是非常不错.首先对snort做一个概括的评论。 从工作原理而言,snort是一个NIDS。[注:基于网络的入侵检测系统(NIDS)在网络的一点被动地检查原始的网络传输数据。通过分析检查的数据包,NIDS匹配入侵行为的特征或者从网络活动的角度检测异常行
使用cxf做webservice接口调用
weixin_30472035的博客
05-20 248
一、服务端 建javaweb工程,去官网下载所需的cxf接口发布的jar包,导入到工程。官网地址:http://cxf.apache.org/download.html 1、建立调用接口 package com.ymx.cxf.server; import javax.jws.WebService; @WebService public interface UserSe...
spring boot 整合CXF
tyjlearning的博客
01-09 882
1.依赖jar包 <dependency> <groupId>org.apache.cxf</groupId> <artifactId>cxf-spring-boot-starter-jaxws</artifactId> <version>3.2.4&l...
snort规则解析功能
06-09
Snort规则的主要功能是用于检测和分析网络流量,可以实现以下几个方面的功能: 1. 网络安全监控:Snort能够实时监控网络流量,检测和分类各种攻击行为,包括漏洞利用、网络蠕虫、DoS攻击、恶意软件等。 2. 异常流量检测:Snort可以根据规则中定义的条件对网络流量进行匹配,如果匹配成功,就会执行相应的动作,如记录日志、生成警报等。 3. 威胁情报分析Snort能够通过与外部威胁情报共享,实现对网络攻击的实时分析和响应。 4. 监控和管理网络:Snort可以对网络流量进行实时监控,帮助管理员及时发现网络问题,管理网络设备和应用程序,保障网络安全。 总之,Snort规则的功能非常广泛,可以帮助用户及时发现并应对各种网络安全威胁,提高网络安全性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值