开源IDS suricata源码分析(Flow管理流程)

最新推荐文章于 2023-06-05 22:42:35 发布
最新推荐文章于 2023-06-05 22:42:35 发布
阅读量1.5k 收藏 6
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50638175/article/details/108632922
版权

Suricata Flow管理

suricata 使用Flow结构维护会话信息,代码中维护了Flow哈希表(流表),Flow空闲队列,Flow回收队列三个结构,用于存储不同状态的Flow。

参与维护Flow结构的线程

  • FlowManager
    • 从流表中摘除超时的流放入回收队列
    • 检查空闲队列长度是否为预设值,若过长则释放一部分,若过短则申请一部分
  • FlowRecyler
    • 从回收队列中摘除Flow,调用注册流输出模块的回掉,清空Flow信息,插入回收队列
  • FlowWorker
    • 对于新到达的包,在流表中查找其对应Flow结构,若存在则直接引用
    • 若流表中不存在对应此包的Flow结构,则按如下优先级获取一个新的Flow结构
      1. 从空闲队列中取出一个Flow结构
      2. 重新申请一个Flow结构
      3. 从流表中去除一个当前未被引用的Flow结构,清空其内容并重新插入流表

各线程处理流程如下图:
在这里插入图片描述

人潮没冲散当初那伙
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Suricata-7(1),做了三年网络安全
m0_55956883的博客
04-06 696
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
开源IDS suricata 分析(开篇)
zzj_1007的博客
09-07 1107
背景:记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
suricata -- 流管理系统
xuwaiwai的博客
02-16 6024
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
suricata管理
10-31 545
suricata管理
suricata 3.1 分析33 (FlowWorker处理流程2 - FlowHandlePacket)
superbfly的专栏
12-27 2446
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricataflow流会话管理分析1
每天分享一个编程小知识
06-05 593
1)就是当流表内存不够用时,会有一个紧急状态机制FLOW_EMERGENCY,这个时候不同协议以及不同流状态的老化时间会大大的缩短,加速流表老化,以腾出更多的内存空间为新流所用,例如紧急状态下TCP流的初建阶段的老化时长默认值为FLOW_IPPROTO_TCP_EMERG_NEW_TIMEOUT 10秒,而对于TCP握手完成之后的流老化时长默认为FLOW_IPPROTO_TCP_EMERG_EST_TIMEOUT 100秒。创建流表时,先优先从这些节点上获取flow。喜欢文章内容的朋友,加个关注呗~~
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
Suricata-开源
07-06
【标题】"Suricata-开源" Suricata是一款开源的网络入侵检测系统(NIDS)和网络入侵预防系统(NIPS),由Elastic安全团队维护。它旨在检测各种网络威胁,包括恶意软件、网络攻击、欺诈行为以及滥用活动。 Suricata...
求助:基于SuricataIDSIPS发行版
02-02
基于SuricataIDS/IPS发行版通常集成了监控、管理和响应功能,以便于用户保护其网络免受恶意活动的侵害。在Linux环境中,这样的发行版可以帮助管理员实现对网络流量的深度分析和实时警报。 "SELKS"是Secure ...
suricata-5.0.3码包
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域中扮演着重要的角色。此码包版本为5.0.3,这意味着它包含了该软件开发过程中的最新特性和改进。这个码包被确认可以在...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
SNĒZ:流行的开源IDS程序-开源
04-13
SNĒZ是流行的开源IDS程序SNORT:registered:和Suricata的Web界面。 IDS输出可以是unified2或JSON格式。
suricata 3.1 分析17 (流管理2)
superbfly的专栏
09-20 1661
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //流
suricata 3.1 分析16 (流管理1)
superbfly的专栏
09-19 2078
suricata.c的main函数执行完RunModeDispatch之后会在判断是否使用UNIX_SOCKET中调用FlowManagerThreadSpawn创建流管理线程。/** \brief spawn the flow manager thread */ void FlowManagerThreadSpawn() { #ifdef AFLFUZZ_DISABLE_MGTTHREADS
Suricata-流的获取
Phantasm的博客
08-18 1041
文章目录1. 概念2. 流的获取2.1 流的分配3. 流的队列3.1 spare队列3.1.1 入队3.1.2 出队3.2 recycle队列3.2.1 入队3.2.2 出队 1. 概念 流是从特定发送到特定单播、泛播或多播目的地的数据包序列。流可以由特定传输连接或媒体流中的所有数据包组成。但是,流不一定是1:1映射到传输连接上。 传统上,流是基于地址和目的地址、端口和目的端口,及传输协议类型的5元组来区分。 参见RFC-3697 通常我们也指从一端到另一端的一次网络数据传输过程。其包含连接的建立
suricata码之-流表管理
村中少年的专栏
06-20 1586
suricata中的流表管理,包括流表初始化,流的新建以及流的老化
Suricata6.0流表管理码注释四:流的建立02
ljq32的专栏
01-08 608
流的建立02,FlowGetNew
suricata 3.1 分析15 (流更新)
superbfly的专栏
09-18 1651
流更新通过FlowWorker线程函数中调用FlowUpdate,FlowUpdate中又调用了FlowHandlePacketUpdate来更新流。 在获取到包所属的流后,接下来将根据这个包对流进行更新。/** \brief Update Packet and Flow * * Updates packet and flow based on the new packet. * *
Suricata6.0流表管理码注释一:流表管理简介
ljq32的专栏
01-07 2895
管理包括流表的初始化,流的新建、查找、更新、检查老化、流的回收、空闲流数量的动态维护
suricata分析
最新发布
08-12
Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其分析是对其实现原理和功能的深入理解和研究。 Suricata分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值