Suricata6.0流表管理源码注释四:流的建立02

最新推荐文章于 2024-01-20 16:14:41 发布
最新推荐文章于 2024-01-20 16:14:41 发布
阅读量643 收藏 1
点赞数
分类专栏: 源码分析 network 文章标签: 开源工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq32/article/details/122383335
版权
本文深入探讨Suricata6.0流表管理,重点在于FlowGetNew函数,涉及从线程局部队列到全局内存池的流程。当无法获取新Flow时,系统进入紧急模式,通过FlowTimeoutsEmergency设置紧急老化时间。FlowGetUsedFlow函数在资源紧张时,从已使用Flow中寻找可用实例,利用flow_prune_idx策略提高查找效率。
摘要由CSDN通过智能技术生成

这篇文章接着上篇继续解释流的建立,其中最重要的一个函数FlowGetNew,主要目的是获取一个flow,获取过程中也是非常曲折的,求爷爷告奶奶才能求来一个flow。

1. FlowGetNew 这个函数也分几个方面理解:

FlowHandlePacket-》FlowGetFlowFromHash-》FlowGetNew

a。从线程自己的flow队列里获取flow,如果获取成功则返回flow,如果没有就从全局flow内存池获取一个flow队列,再从flow队列里获取flow。

b。如果线程自己的flow队列和全局flow内存池也没有可用的flow队列,且flow内存超过配置上限,则设置进入紧急模式。

c。接b,设置紧急模式之后,调用函数FlowGetUsedFlow获取flow,这个函数是从正在使用的全局flow_hash的bucket链表里获取一个,后续会注释这个函数。

d。如果线程自己的flow队列和全局flow内存池也没有可用的flow队列,且flow内存没有超过配置上限,则直接在内存上分配flow即调用函数FlowAlloc。

static Flow *FlowGetNew(ThreadVars *tv, FlowLookupStruct *fls, const Packet *p)
{
    //获取紧急模式标志
    const bool emerg = ((SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY) != 0);

    //检查是否可以生成flow,icmp错误包不生成flow
    //如果是紧急模式,tcp非sync的包不生成flow,可以看出sync包优先生成flow
    if (FlowCreateCheck(p, emerg) == 0) {
        return NULL;
    }

    //从线程自己的flow队列里获取flow,如果获取成功则返回flow
    /* get a flow from the spare queue */
    Flow *f = FlowQueuePrivateGetFromTop(&fls->spare_queue);
    if (f == NULL) {
        //如果获取flow失败,就从全局flow内存池获取一个flow队列,再从flow队列里获取flow。
        //FlowSpareSync这个函数主要是从空闲的全局flow内存池获取一个flow队列,给自己用
        f = FlowSpareSync(tv, fls, p, emerg);
    }

    //全局flow内存池也没有可用的flow队列
    if (f == NULL) {
        /* If we reached the max memcap, we get a used flow */
        //判断如果flow内存超过配置上限,则进入紧急模式。
        if (!(FLOW_CHECK_MEMCAP(sizeof(Flow) + FlowStorageSize()))) {
            /* declare state of emergency */
            if (!(SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY)) {
                //没有设置紧急模式标志才会设置,设置过
最低0.47元/天 解锁文章
Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 2954
管理包括流表的初始化,的新建、查找、更新、检查老化、的回收、空闲数量的动态维护
Suricata6.0流表管理源码注释二:流表初始化
ljq32的专栏
01-08 3958
这篇文章主要对流表初始化用到的主要函数进行注释
suricata源码之-流表管理
村中少年的专栏
06-20 1683
suricata中的流表管理,包括流表初始化,的新建以及的老化
suricata流表管理-新建
qq_41167620的博客
01-11 423
FlowGetFlowFromHash分为三部分,流表空的状态处理,流表与数据包完成hash匹配为数据包关联对应的FlowWoker接口中处理每个数据包,通过FlowHandlePacket完成对每个数据包的匹配和新建工。2)匹配到对应的流表,把这个表节点放在头部,并判断节点是否为待关闭状态(配置新的)3、如果第一条就是匹配的,判断节点是否为待关闭状态(配置新的)1)下一节点为空,拿一个新的节点放在流表头部。2、如果流表中有数据且头节点不匹配数据包。
Suricata6.0流表管理源码注释九:补充:新建过程中对于超时的处理
ljq32的专栏
01-09 6392
新建过程中对于超时的处理
Suricata6.0流表管理源码注释六:的老化02
ljq32的专栏
01-08 674
FlowTimeoutHash 函数老化处理
Suricata6.0流表管理源码注释三:建立01
ljq32的专栏
01-08 2924
流表建立
suricata 管理
10-31 663
suricata 管理
Suricata-的获取
Phantasm的博客
08-18 1124
文章目录1. 概念2. 的获取2.1 的分配3. 的队列3.1 spare队列3.1.1 入队3.1.2 出队3.2 recycle队列3.2.1 入队3.2.2 出队 1. 概念 是从特定源发送到特定单播、泛播或多播目的地的数据包序列。可以由特定传输连接或媒体中的所有数据包组成。但是,不一定是1:1映射到传输连接上。 传统上,是基于源地址和目的地址、源端口和目的端口,及传输协议类型的5元组来区分。 参见RFC-3697 通常我们也指从一端到另一端的一次网络数据传输过程。其包含连接的建立
suricata flow分配
唐装鼠的主页
06-02 106
调整空闲flow数量,空闲flow总数少于预配置的flow个数的90%则补齐,空闲flow总数多于预配置flow个数的110%则释放。FlowSparePool初始化flow_config.prealloc个(配置节点flow.prealloc);FlowQueuePrivate初始化flow_spare_pool_block_size=100个。
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
suricata 3.1 源码分析14 (查找分配)
superbfly的专栏
09-14 1907
查找/分配通过FlowWorker线程函数中调用FlowHandlePacket来找到。 下面将按照FlowHandlePacket的程,分析flow engine对于新送入的解码后的数据包是如何处理的。 对于一个Packet,首先在流表中查找其所属的是否已经存在,若存在,则直接返回该的引用即可,否则就需要分配一个新。 该过程的实现由FlowGetFlowFromHash完成,函数
suricata -- 管理系统
xuwaiwai的博客
02-16 6250
suricata中使用 Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
开源IDS suricata源码分析(Flow管理程)
m0_50638175的博客
09-28 1650
Suricata Flow管理 suricata 使用Flow结构维护会话信息,代码中维护了Flow哈希表(流表),Flow空闲队列,Flow回收队列三个结构,用于存储不同状态的Flow。 参与维护Flow结构的线程 FlowManager 从流表中摘除超时的放入回收队列 检查空闲队列长度是否为预设值,若过长则释放一部分,若过短则申请一部分 FlowRecyler 从回收队列中摘除Flow,调用注册输出模块的回掉,清空Flow信息,插入回收队列 FlowWorker 对于新到达的包,在
Suricata6.0流表管理源码注释五:建立03:全局flow内存池与线程自己的flow队列
ljq32的专栏
01-08 475
全局flow内存池与线程自己的flow队列
Suricata-7.0 源码分析之流表建立FlowWorker
最新发布
wenze123的博客
01-20 1332
Suricata-7.0 FlowerWorker 流表建立
suricata 3.1 源码分析33 (FlowWorker处理程2 - FlowHandlePacket)
superbfly的专栏
12-27 2493
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricata 3.1 源码分析15 (更新)
superbfly的专栏
09-18 1685
更新通过FlowWorker线程函数中调用FlowUpdate,FlowUpdate中又调用了FlowHandlePacketUpdate来更新。 在获取到包所属的后,接下来将根据这个包对进行更新。/** \brief Update Packet and Flow * * Updates packet and flow based on the new packet. * *
高分毕设:Suricata网络入侵检测系统源码及项目截图
综上所述,这个基于Suricata的网络入侵检测系统源码项目非常适合于那些需要在实际网络环境中部署入侵检测系统的实践者,同时也为学习网络安全和网络管理的学生提供了一个良好的学习案例。通过分析源码和项目截图,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种菜的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值