Snort之Stream5ProcessTcp()

最新推荐文章于 2019-08-06 15:15:53 发布
最新推荐文章于 2019-08-06 15:15:53 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: net/tcp/ip专题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lieye_leaves/article/details/50041979
版权


int Stream5ProcessTcp(Packet *p,Stream5LWSession *lwssn,

                     Stream5TcpPolicy*s5TcpPolicy, SessionKey *skey)

   Packet *p  新抓到的包

   Stream5LWSession *lwssn包所在的流

   Stream5TcpPolicy *s5TcpPolicy流的规则参数,如最大字节数,段数,超时时间

   SessionKey *skey流的键值

 

如果流存在,但是标志位(SSNFLAG_DROP_CLIENT|SSNFLAG_DROP_SERVER),则丢弃该包;

如果规则不存在,则为流建立规则;

 

//segment 1流的建立

如果流为空

   {

       如果规则为三次握手

       {

            如果(SYN标志,没有ACK标志)

            {

               建立新的lwssn

            }

            else

            {

               判断是否超时,没有超时则进入标志midstream_pickup_allowed:

               超时了,就丢弃该包;

            }

       }

       else //此处流还是空的

        midstream_pickup_allowed:

        {

            如果(SYN,ACK),就建立流;

            如果(包的数据 > 0), 就建立流;

            如果(TF_WSCALE标志,,SYN),就建立流;

            其他情况不做处理

        }

        如果到此处流没建立,该包的处理就退出该函数;

   }

   else

   {

        有流存在,只打印一下log,流后续接下来会处理

   }

//segment 2,流的处理

   如果流的状态为超时,或者该包的时间戳大于流的超时时间

   {

        如果流的状态,SSNFLAG_RESET

        {

            清空该流,进行命中处理

             ProcessTcp();

        }

        else其他情况

        {

            清空该流,进行命中处理

            ProcessTcp()

        }

     } 

     else//

     {

        ProcessTcp();

     }

lieye_leaves
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
入侵防御系统中TCP数据流重组的设计与实现.pdf
08-17
入侵防御系统,可以在并行电脑数据行上发布
snortProcessTcp()
lieye_leaves的专栏
11-25 886
 int ProcessTcp(Stream5LWSession *lwssn,Packet *p, TcpDataBlock *tdb,        Stream5TcpPolicy *s5TcpPolicy)    lwssn : 当前的流    p    :当前的包    tdb  :包含 seq  ack  end_seq win ts  
Stream 模块学习(五)
我是渣渣
07-06 606
pipe方法 数据流将被自动管理 。读多少 写多少 用法如下: 手动模拟一下pipe方法 let fs = require('fs') let path = require('path') let rs = fs.createReadStream(path.join(__dirname, './1.txt'), { highWaterMark: 4 //这里...
解析SnortTCP流重组
yang_oh的博客
07-11 3405
关于TCP重组 TCP报文段在网络中传输常见的问题包括,因丢包造成的重传,因网络情况造成的报文乱序,为增加性能重传更大的报文段造成报文重叠,等等,通常情况下,内核TCP协议栈会解决这些问题,保证应用层数据的可靠有序。但对于运行在非应用层模块例如传输层以下或不经过内核的功能模块,就应该考虑是否需要解决TCP重传、重叠、乱序等问题,例如这些功能模块希望http协议被正常解析,那么必然要解决上述问题。 ...
JDK 1.8新特性整理-Stream(五)
猿起于此
08-06 118
Java 8 API添加了一个新的抽象称为流Stream,可以让你以一种声明的方式处理数据。 Stream 使用一种类似用 SQL 语句从数据库查询数据的直观方式来提供一种对 Java 集合运算和表达的高阶抽象。 Stream API可以极大提高Java程序员的生产力,让程序员写出高效率、干净、简洁的代码。 这种风格将要处理的元素集合看作一种流, 流在管道中传输, 并且可以在管道的节点上进行处理,...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
linux交叉编译snort到cavium
11-24
压缩包内部包含7个软件:libdnet snort daq pcap pcre zlib openssl,每个交叉编译的步骤。文档只是记录自己编译的过程,基本编译按照模式来不会出问题,依赖库需要自己移到开发板上。可自行考虑连接静态库
snort2.8.6安装所需
01-07
5. **配置Snort**:编辑`snort.conf`配置文件,根据你的网络环境配置规则、接口、日志路径等。 6. **编译和安装BASE和ACID**:解压`base-1.4.5.tar.gz`和`acid-0.9.6b23.tar.gz`,遵循它们各自的安装说明进行编译和...
Snort环境资源包.zip
06-25
5. **base**:这个文件可能是指Snort的“BASE”(Basic Analysis and Security Engine)后端。BASE是一个基于Web的Snort事件查看器,它可以显示Snort生成的报警信息,便于用户分析和处理。 6. **adodb**:ADODB...
snort实验包.zip
01-02
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过预定义的规则检测潜在的攻击行为。本实验包是针对 Snort 的实践操作,结合了 MySQL 数据库,以提高报警管理和数据分析的能力。我们将深入...
像目标主机一样的tcp流重组
网络安全研究
01-28 747
介绍 在他们具有里程碑意义的1998年论文“插入,逃避和拒绝服务:躲避网络入侵检测”中,1 Thomas Ptacek和Timothy Newsham暴露了入侵检测系统(IDS)的一些弱点。作者表示,入侵检测系统不能有效和准确,因为它们不一定处理,甚至可能甚至不像接收消息的目标主机那样观察网络流量。 该缺陷存在于包括IP,TCP和应用层的分组的多个评估和处理层中。作为问题的示例,请考虑具有重叠发送...
Snort 预处理器 ——portscan
starshift的专栏
02-07 3747
 PortScan_preprocessor 向标准记录设备中记录从一个源IP地址来的端口扫描的开始和结束。如果指定了一个记录文件,在记录扫描类型的同时也记录目的IP地址和端口。端口扫描定义为在时间T(秒)之内向超过P个端口进行TCP连接尝试,或者在时间T(秒)之内向超过P个端口发送UDP数据包。端口扫描可以是对任一IP 地址的多个端口,也可以是对多个IP地址的同一端口进行。现在这个版
解决Snort Unknown Classtype
Squeen_的专栏
07-05 1586
原因是配置的conf文件找不到classification.config 解决方法: 在你的配置文件中包含classification.config文件,例如:include D:/Snort/etc/classification.config
Snort入侵检测系统简介
热门推荐
bobozai86的博客
07-26 2万+
原文源自:https://www.jianshu.com/p/113345bbf2f7 前言        防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 Snort IDS概述         Snort IDS(入侵检测系统)是一个强大的网络入侵检...
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6278
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数中 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
snort.conf分析(中文)
云里雾里的专栏
04-05 1万+
snort.conf分析此文件包含一个snort配置样例。共分五步骤:1 设置你的网络变量2 配置动态加载库3 配置预处理器4 配置输出插件5 增加任意的运行时配置向导6 自定义规则集step1:设置你的网络变量1 其中针对本地网络给出3种方式:a) 清晰指定你的本地网络var HOME_NET 172.26.75.0/24(如果希望构建的Snort支持IPV6支持,则这里定义网段的类型就应该改为pvar)b) 使用全局变量 var HOME_NET $eth0_ADDRESSc) 也可一定义一个地址列表,
snort规则--flow分析
程序狗的成长之路
07-30 4995
1. 1 flow:   这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器端。这将能把内网客户端流览web页面的数据包和内网服务器所发送的数据包区分开来。这个确定的关键字能够代替标志:A+ 这个标志在显示已建立的TCP连接时都将被使用。
snort cmake
最新发布
09-13
要使用CMake构建和安装Snort,可以按照以下步骤进行操作: 1. 首先,根据给定的引用,使用以下命令运行CMake脚本: ``` ./configure_cmake.sh --prefix=/usr/local/snort/extra ``` 这将配置CMake以将Snort安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值