Suricata6.0流表管理源码注释六:流的老化02

最新推荐文章于 2022-10-31 11:31:38 发布
最新推荐文章于 2022-10-31 11:31:38 发布
阅读量664 收藏 2
点赞数
分类专栏: 源码分析 network 文章标签: 开源工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq32/article/details/122387278
版权
本文详细解析Suricata6.0中流老化处理的关键函数FlowTimeoutHash,该函数负责将超时流从flow_hash移除并放入回收队列。此外,还介绍了FlowManagerHashRowTimeout和ProcessAsideQueue两个辅助函数,它们协同完成流的超时检查和回收流程。
摘要由CSDN通过智能技术生成

        流老化入口函数FlowManger调用函数FlowTimeoutHash完成流老化处理,这个函数完成了大部分老化工作,把一个老化的流从flow_hash上移走,移入了回收队列,由回收线程取出来放入空闲全局flow内存池。

1. FlowTimeoutHash 函数

FlowManager-》FlowTimeoutHash

函数有两个参数表示flow bucket的范围值,const uint32_t hash_min, const uint32_t hash_max,先把老化的flow移入参数td->aside_queue队列,再从aside_queue队列移入回收线程的队列flow_recycle_q,如此玩法,flow必晕。

/**
 *  \brief time out flows from the hash
 *
 *  \param ts timestamp
 *  \param hash_min min hash index to consider
 *  \param hash_max max hash index to consider
 *  \param counters ptr to FlowTimeoutCounters structure
 *
 *  \retval cnt number of timed out flow
 */

//新版本的老化策略比旧版本复杂了很多,流分配那块修改应该是有效率提升,
//但是这个函数应该没有效率提升,
//这个函数总思路就是先设置一个位图,每1位表示一个bucket是否有需要老化的flow,
//还是和旧版一样判断每个bucket的next_ts与最新时间,先循环32或64次检查每个
//bucket是否有超时的flow,有超时的放入一个32或64位的整数,
//循环完成,再循环这个整数,检查每一位同时检查next_ts,都符合超时条件则进行老化,好复杂,没毛用
static uint32_t FlowTimeoutHash(FlowManagerTimeoutThread *td,
        struct timeval *ts,
        const uint32_t hash_min, const uint32_t hash_max,
        FlowTimeoutCounters *counters)
{
    uint32_t cnt = 0;
    //获取紧急模式标志
    const int emergency = ((SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY));
    //计算检查的bucket数量
    const uint32_t rows_checked = hash_max - hash_min;
    uint32_t rows_skipped = 0;
    uint32_t rows_empty = 0;

//那个一次取32还是64个bucket就是这个系统位数决定的,以下都认为64位吧
#if __WORDSIZE==64
#define BITS 64
#define TYPE uint64_t
#else
#define BITS 32
#define TYPE uint32_t
#endif

    for (uint32_t idx = hash_min; idx < hash_max; idx+=BITS) {
        TYPE check_bits = 0; //64位整数
        //取最小的数,万一bucket数量不够64个呢
        const uint32_t check = MIN(BITS, (hash_max - idx));
        //循环64次,检查64个bucket是否有超时的flow,有则设置一位到check_bits
        for (uint32_t i = 0; i < check; i++) {
            FlowBucket *fb = &flow_hash[idx+i];
            check_bits |= (TYPE)(SC_ATOMIC_LOAD_EXPLICIT(fb->next_ts, SC_ATOMIC_MEMORY_ORDER_RELAXED) <= (int32_t)ts->tv_sec) << (TYPE)i;
        }
        if (check_bits == 0) //没有一个超时的则继续下一轮64个bucket的超时判断
            continue;

        //多循环一次
        for (uint32_t i = 0; i < check; i++) {
            //有超时的,则循环检测这个64位数,然后老化之
            FlowBucket *fb = &flow_hash[idx+i];
            //多比较一次,何苦呢
            if ((check_bits & ((TYPE)1 << (TYPE)i)) != 0 && SC_ATOMIC_GET(fb->next_ts) <= (int32_t)ts->tv_sec) {
                FBLOCK_LOCK(fb);
                Flow *evicted = NULL;
                if (fb->evicted != NULL || fb->head != NULL) {
                    if (fb->evicted != NULL) {
                        //这个evicted队列
最低0.47元/天 解锁文章
种菜的
关注
专栏目录
flowmanager:一种SDN应用程序,可让网络管理员或学生无需编码即可控制OpenFlow网络中的
02-05
管理器 FlowManager是RYU控制器应用程序,可让用户手动控制OpenFlow网络中的流表。 用户可以直接从应用程序创建,修改或删除。 用户还可以监视OpenFlow交换机并查看统计信息。 FlowManager非常适合在实验室环境中学习OpenFlow,或者与其他应用程序结合使用以调整生产环境中网络的行为。 产品特点 在流表中添加/修改/删除条目。 添加/修改/删除组表和计量表。 向/从本地驱动器备份/还原切换表。 查看流表,组表和仪表。 查看交换机统计信息。 查看网络拓扑。 依存关系 FlowManager是应用程序,因此在继续操作之前,请确保已正确安装控制器。
Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 2943
管理包括流表的初始化,的新建、查找、更新、检查老化的回收、空闲数量的动态维护
suricata源码之-流表管理
村中少年的专栏
06-20 1669
suricata中的流表管理,包括流表初始化,的新建以及老化
suricata -- 管理系统
xuwaiwai的博客
02-16 6200
suricata中使用 (Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
FPGA智能网卡-流表老化功能
视频拼接器
04-23 876
流表老化的作用? 流表老化主要有以下几个目的; 在智能网卡系统里面,流表的空间有限,流表老化主要为了流表空间利用最大化; 流表老化是什么? 流表老化是一直利用时间戳机制来删除无用的流表;以达到流表空间的利用效率; 流表老化怎么做? 如下图所示, 从flow id=1的地址读流表,提取流表的时间戳;依次循环读流表;当前时间戳减去流表时间戳大于门限的时候,上报统计消息给业务软件,如果业务软件发出命令来删除流表; ...
Suricata6.0流表管理源码注释七:老化03
ljq32的专栏
01-09 508
函数FlowTimeoutHashInChunks
scirius:Scirius是用于Suricata规则集管理的Web应用程序
02-05
Scirius是一款基于Web的开源应用程序,专门设计用于管理和维护Suricata的规则集。Suricata是一款强大的网络威胁检测引擎,广泛应用于网络安全监控和入侵防御系统(IDS/IPS)。Scirius的出现使得Suricata规则的管理...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip
最新发布
04-15
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip本资源中的源码都是经过本地编译过可运行的,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心...
rock-suricata:用于suricata签名和签名部署工作的回购
05-18
RockNSM Suricata规则该存储库旨在促进一项服务,该服务允许组织使用git对其Suricata规则进行更改控制。 它还包含将suricata-update用于规则的配置。 结构如下: rock-suricata/├── disable.conf├── enable....
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷...
Suricata6.0流表管理源码注释老化01
ljq32的专栏
01-08 3148
老化
suricata在netmap模式用autofp方式抓包有内存泄漏的相关信息
superbfly的专栏
08-26 2242
说个小的发现。 suricata在运行netmap模式进行抓包的时候默认使用的是”workers”的工作方式。 由于其它的都是“autofp”的方式,所以就带着疑问上google上查了一下。没想到还真查到点东西。 https://redmine.openinfosecfoundation.org/issues/1717 这是论坛里找到的,大体意思是说在suricata 3的版本使用netma
suricata 程序架构
m0_38091107的博客
08-09 3794
suricata程序架构运行模式packet水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
netstream是什么?
Z056211的博客
10-31 278
Netstream是什么?
suricata 各个线程干的事情 -- FlowManagerThread
xuwaiwai的博客
01-14 712
suricata 各个线程干的事情 -- FlowManagerThread
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1697
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4775
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
tcp段重组--suricata实现
网络安全研究
11-08 7165
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -&amp;amp;amp;gt; PostConfLoadedSetup -&amp;amp;amp;gt; PreRunInit -&amp;amp;amp;gt; StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -&amp;amp;amp;gt; StreamTcp中。 TCP 状态机&a
高分毕设:Suricata网络入侵检测系统源码及项目截图
综上所述,这个基于Suricata的网络入侵检测系统源码项目非常适合于那些需要在实际网络环境中部署入侵检测系统的实践者,同时也为学习网络安全和网络管理的学生提供了一个良好的学习案例。通过分析源码和项目截图,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种菜的

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值