suricata smtp协议解析源码注释六

最新推荐文章于 2024-01-25 11:53:50 发布
最新推荐文章于 2024-01-25 11:53:50 发布
阅读量948 收藏
点赞数
分类专栏: 源码分析 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq32/article/details/120253553
版权
本文深入解析Suricata SMTP协议解析过程,重点关注ProcessMimeBody函数及boundary处理。该函数用于处理data命令的body数据,通过查找boundary来调用不同处理函数。文章详细介绍了如何判断和处理各种类型的boundary,包括新子信件体、兄弟信件体的生成,以及信件体结束的标志设置。
摘要由CSDN通过智能技术生成

一。解析函数ProcessMimeBody:解析data命令的body数据  

SMTPParse-> SMTPProcessRequest-> SMTPProcessCommandDATA-> MimeDecParseLine-> ProcessMimeEntity-> ProcessMimeBody

这个函数比较简单,主要查询boundary分界线,然后根据查找结果调用bounddary处理函数ProcessMimeBoundary,或者调用body数据处理函数

static int ProcessMimeBody(const uint8_t *buf, uint32_t len,
        MimeDecParseState *state)
{
    int ret = MIME_DEC_OK;
    uint8_t temp[BOUNDARY_BUF];
    uint8_t *bstart;
    int body_found = 0;
    uint32_t tlen;

//这个nss不知道干啥的,没看这个代码
#ifdef HAVE_NSS
    if (MimeDecGetConfig()->body_md5) {
        if (state->body_begin == 1) {
            if (state->md5_ctx == NULL) {
                state->md5_ctx = HASH_Create(HASH_AlgMD5);
                HASH_Begin(state->md5_ctx);
            }
        }
        HASH_Update(state->md5_ctx, buf, len + state->current_line_delimiter_len);
    }
#endif

    /* Ignore empty lines */
    if (len == 0) {
        return ret;
    }

    /* First look for boundary */
    MimeDecStackNode *node = state->stack->top;
    if (node == NULL) {
        SCLogDebug("Error: Invalid stack state");
        return MIME_DEC_ERR_PARSE;
    }

    //上次的数据如果是结尾boundary字符串,则在解析时设置标志BODY_END_BOUND,
    //此处判断如果解析标志为BODY_END_BOUND,说明一个完整的信件体解析结束,
    //那么本次及后续的数据就属于上一级(当前信件体的父信件体),
    //于是需要确定本次及后续数据使用的boundary字符串,这个boundary字符串从哪里找呢,
    //那就时使用其父信件体定义的boundary,父信件体的content-type中包含了这个boundary,
    //所以代码判断其父信件体(top->next)是否包含boundary,包含则使用这个boundary,
    //如果不包含再查找父信件体的父信件体,直到找到boundary,
    //如果最后没有找到boundary则说明当前信件体后续没有子信件体了,
    //后续数据是普通的body数据,不需要根据boundary生成子信件体等操作,
    //直接将body数据存储到当前信件体的结构体中即可
    /* Traverse through stack to find a boundary definition */
    if (state->state_flag == BODY_END_BOUND || node->bdef == NULL) {

        /* If not found, then use parent's boundary */
        node = node->next;
        while (node != NULL && node->bdef == NULL) {
            SCLogDebug("Traversing through stack for node with boundary");
            node = node->next;
        }
    }

    /* This means no boundary / parent w/boundary was found so we are in the body */
    if (node == NULL) {
        //没有找到boundary则说明当前信件体后续没有子信件体了
        //直接将body数据存储到当前信件体的结构体中即可
        body_found = 1;
    } else {

        //查找boundary字符串,比较前边两个横线即“--”
        /* Now look for start of boundary */
        if (len > 1 && buf[0] == '-' && buf[1] == '-') {
            tlen = node->bdef_len + 2;
            if (tlen > BOUNDAR
最低0.47元/天 解锁文章
种菜的
关注
专栏目录
suricata smtp协议解析源码注释
ljq32的专栏
09-10 1817
一。Suricata解析smtp协议整体思路 Smtp协议解析模块根据客户端与邮件服务器之间的每一个smtp交互命令,设置了多个状态即当前的smtp命令和解析阶段。 Smtp协议解析模块将smtp的交互过程视为一次事务,该事务记录了状态变化和解析阶段的过程,每次状态变化时,根据数据传输方向(客户到服务器,服务器到客户),根据当前方向对当前状态进行相应的处理。 例如:当客户端发送HELO命令后,事务的状态变为HELO,此时,服务器的操作就是处理HELO后反馈数据给客户端,客户端的操作就是解析服务器对HE
开源IDS suricata 源码分析(零、开篇)
m0_50638175的博客
09-12 1181
背景:记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
suricata应用层协议解析
City_of_skey的博客
02-14 3608
suricata应用层协议解析 1. 协议注册 应用层协议保存在全局变量static AppLayerParserCtx alp_ctx; typedef struct AppLayerParserCtx_ { AppLayerParserProtoCtx ctxs[FLOW_PROTO_M...
Suricata TCP 和HTTP 一起检测
weixin_42584507的博客
02-14 175
Suricata 是一个开源入侵检测系统(IDS)和攻击防御系统(IPS),可以用来检测网络安全威胁。您可以设置 Suricata 来同时检测 TCP 和 HTTP 协议,以帮助您检测网络中可疑的流量和恶意行为。Suricata 支持多种协议,包括 TCP、HTTP、DNS 等,并且拥有丰富的规则集,可以用来检测各种类型的安全威胁。 ...
suricata smtp协议解析源码注释
ljq32的专栏
09-11 1248
一。MIME信件实体分界线 Boundary分界线:在原boundary前加两个横线“--” 结尾boundary:在原boundary前和后各加两个横线“--” 二。Smtp解析模块使用变量state->stack->top->data指向当前信件实体,新到的数据包括头部和数据都会保存到该结构体,该变量始终指向正在解析的数据要保存到的信件实体结构体指针,state->stack以堆栈的形式组织所有信件实体: state->stack->top->data
suricata smtp协议解析源码注释
ljq32的专栏
09-12 901
本篇文章开始对主要函数的代码做注释,有的部分语句尚未理解,没有做注释。 1 客户端到服务器请求的入口函数SMTPProcessRequest static int SMTPProcessRequest(SMTPState *state, Flow *f, AppLayerParserState *pstate) { SCEnter(); //state->curr_tx始终指向当前的tmtp事务结构体指针 SMT
suricata smtp协议解析源码注释-零--smtp协议格式简介
ljq32的专栏
09-12 1818
本篇文章为smtp协议解析源码注释的第一篇,简单介绍一下smtp协议格式,大部分格式内容是从网上复制过来的。 一。smtp的客户端与服务器交互过程 常用客户端命令: HELO/EHLO 发出请求 AUTH LOGIN 身份认证 MAIL FROM:发件人email地址 RCPT TO:收件人email地址,可以写多个地址,发送给多人,这是一个列表 DATA...
Hash的Md5算法
zartzwj的专栏
12-11 2284
做项目的时候,经常会遇到用户登录方面的功能。用户登录,就涉及到账号和密码的问题,在后台数据库中,密码不可能存为明码,也就意味着加密,常见的就是对密码做Hash,或者为了安全起见,也会对密码追加salt,再做Hash。 MD5 这是Hash中最常见的算法之一,也是最容易理解和实现的。 md5的固定长度是128位,也就是16个字节。当我们用16进制数进行表示的时候,字符串长度就是32个...
suricata 开源工具学习-自定义协议开发
最新发布
qq_41167620的博客
01-25 1681
suricata协议解析存在PM、PP、PE三种模式,其中PM为数据报关键特征匹配,即匹配报文字段(类似规则中的content字段),PP为端口匹配,即服务器目的端口值匹配命中即确定为协议,最后一个PE为字节流匹配,目前常规只有FTP-DATA协议,其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口:在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口,在这个文件中要加入头文件。这里遍历结构查看是否存在异常,比如请求处理中加入的事件。
深入浅出Spring Boot接口
CERTAINTY的博客
11-29 667
深入浅出Spring Boot接口
数据结构(七)——查找
仙八哥的博客
03-15 191
查找概念 查找方法 查找-平均查找长度 顺序表的查找 顺序查找算法及分析 折半查找算法及分析 分块查找算法及分析 Hash表的查找 保留除数法 哈希表实现 //hash.h #ifndef _HASH_ #define _HASH_ #define N 15 typedef int datatype; typedef struct node { datatype key; datatype value; str
哈希算法
qingxindai的博客
04-03 451
原文:https://blog.csdn.net/xinshengdaxue000/article/details/80545146 什么是哈希算法? 哈希算法又叫散列算法,是将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。它的原理其实很简单,就是把一段交易信息转换成一个固定长度的字符串。 这串字符串具有一些特点: 1. 信息相同,字符串也相同。 2. 信...
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6807
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
linux加密框架 crypto 算法管理 - 哈希算法应用实例
CHYabc123456hh的博客
01-05 768
参考链接 Linux加密框架应用示例(二)_家有一希的博客-CSDN博客 linux加密框架 crypto 算法管理 - 应用角度讲解加密框架的运行流程_CHYabc123456hh的博客-CSDN博客 在应用模块中创建并初始化哈希算法实例 假设某个SA配置使用的认证算法为"hmac(md5)"(即x->aalg->alg_name为"hmac(md5)"),在调用ah_init_state函数初始化SA状态时,将创建认证算法对应的异步哈希算法实例ahash,并设置HMAC密钥(密钥数据保
Kinect学习笔记三BodyIndex
渣渣
09-11 3897
Kinect v2学习笔记第三篇BodyIndex C#   简介: BodyIndex(人体索引) 基于从Kinect取得的Depth数据(传感器的距离信息)获取人体区域。 因为人体区域基于Depth数据,同时也依赖Depth传感器的分辨率。因为Kinect v2 (512×424)的Depth传感器的分辨率大幅提高,但是,能检测出的人体区域的数量还是6个人这一点没有发生改变,16位
网络摄像机(IPC)开发(7):RTP协议解析(H264码流)
ProYuan的博客
06-21 3568
一、RTP(实时传输协议) RTP全名是Real-time Transport Protocol(实时传输协议),它是IETF提出的一个标准,对应的RFC文档为RFC3550(RFC1889为其过期版本),RFC3550不仅定义了RTP,而且定义了配套的相关协议RTSP,RTP用来为IP网上的语音、图像、传真等多种需要实时传输的多媒体数据提供端到端的实时传输服务,RTP为Internet上...
tcp段重组--suricata实现
网络安全研究
11-08 7134
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -> PostConfLoadedSetup -> PreRunInit -> StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -> StreamTcp中。 TCP 状态机&a
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种菜的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值