开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)

最新推荐文章于 2023-06-07 17:24:14 发布
最新推荐文章于 2023-06-07 17:24:14 发布
阅读量1.2k 收藏 5
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50638175/article/details/110239335
版权

这里写自定义目录标题

开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)

本文主要分析suricata在worker工作模式下,工作线程的初始化及工作线程的处理流程。

初始化及处理流程接口调用

由main函数起始的工作线程创建过程:

  1. RunModeDispatch 开始运行模式初始化(以pfring worker模式为例)
  2. RunModeIdsPfringWorkers 此为pfring worker模式注册的初始化接口
  3. RunModeSetLiveCaptureWorkers 所有网口对应的工作线程初始化入口
  4. RunModeSetLiveCaptureWorkersForDevice 某一网口对应的工作线程初始化入口
  5. TmThreadCreatePacketHandler 注册一个工作线程的loop接口,此处loop接口被注册为TmThreadsSlotPktAcqLoop
  6. TmSlotSetFuncAppend 向线程插槽中注册receive接口,此处为ReceivePfringLoop(TmModuleGetByName根据线程模块名查找出来的)(正常工作时此此接口不反回,在内部while1)
  7. TmSlotSetFuncAppend 向线程插槽中注册decode接口,此处为DecodePfring(TmModuleGetByName根据线程模块名查找出来的)
  8. TmSlotSetFuncAppend 向线程插槽中注册decode接口,此处为FlowWorker(TmModuleGetByName根据线程模块名查找出来的)
  9. TmSlotSetFunc
最低0.47元/天 解锁文章
人潮没冲散当初那伙
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
suricata工作流程简介
weixin_30390075的博客
03-01 805
1.suricata 是一个高性能的IDS(入侵检测系统),IPS,网络安全监控引擎。该项目是一个不受益的开源项目。 2.suricata 运行模式 从上图我们可以看出suricata核心有3个模块 1.解码线程:解码线程包括。数据包的分片重组。UDP TCP 等等头部解析 2.detect线程:TCP会话重组。木马检测,协议解析,文件存储,数据包存储等等模块。 其实...
suricata构成-线程分布-功能讲解
qq_41167620的博客
02-02 912
根据提供的接口完成woker线程的启动,这个接口里面的循环次数取决于yaml配置文件af-packet项内有几个接口。// 运行提供的启动接口,对于af-packet worker启动接口为 RunModeIdsAFPWorkers。// 提供接口对应项配置解析器(af-packet),提供获取线程数量的回调接口。传入线程数量获取接口,收包,解码,线程名称,接口名称,接口对应配置信息。// 接口完成主线程的创建,并将线程交给主线程的tv_root。//接口实现,激活收包流程处理数据包。
suricata6 workers 流程
唐装鼠的主页
06-07 671
suricata6 数据包处理流程
suricata 3.1 源码分析21 (数据包处理1)
superbfly的专栏
09-26 2079
进一步的数据包处理是在TmThreadsSlotProcessPkt中完成,其原型为: static inline TmEcode TmThreadsSlotProcessPkt(ThreadVars *tv, TmSlot *s, Packet *p) 其中,s就是前面一路传下来的slot,而p为当前要处理的Packet。/** * \brief Process the r
PF_RING浅析
飞翔de刺猬
05-19 7697
PF_RING架构 PF_RING的主要框架包括如下几部分: 内核数据包加速处理模块负责提供拷贝底层的数据包到PF_RING环中 用户空间PF_RINGSDK负责透明的为用户空间应用程序提供PF_RING技术支持 特殊定制的PF_RING相关的网卡驱动网卡驱动不通过linux内核任何的数据结构一大到进一步加强数据包的抓取效率的目的。PF_RING可以与任何NIC驱动程序
PF_RING使用BPF过滤器
任薛纪的专栏
03-21 3179
转载:http://blog.chinaunix.net/uid-10540984-id-3240755.html PF_RING是支持BPF过滤器的,这个在PF_RING的UserGuide中也有相应的函数原型说明。 当编译创建配置的时候,也可以关闭BPF的支持。 ./userland/lib/configure --disable-bpf 默
利用静态分析加固开源入侵检测系统(IDS)的最佳实践
01-27
【利用静态分析加固开源入侵检测系统(IDS)的最佳实践】 网络安全监控系统(NSM)是保护网络免受入侵的关键组成部分,它涵盖了入侵检测系统(IDS)、基于网络的IDS(NIDS)、主机入侵检测系统(HIDS)以及物理入侵检测系统...
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
Suricata-开源
07-06
【标题】"Suricata-开源" Suricata是一款开源的网络入侵检测系统(NIDS)和网络入侵预防系统(NIPS),由Elastic安全团队维护。它旨在检测各种网络威胁,包括恶意软件、网络攻击、欺诈行为以及滥用活动。 Suricata...
求助:基于SuricataIDSIPS发行版
02-02
这些组件组合在一起,提供了日志收集、处理、存储和可视化的强大能力,使安全分析师能够有效分析Suricata生成的事件。 1. **Suricata**: Suricata能实时分析网络流量,识别潜在的威胁,包括病毒、木马、DoS攻击等...
suricata-5.0.3源码
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域中扮演着重要的角色。此源码包版本为5.0.3,这意味着它包含了该软件开发过程中的最新特性和改进。这个源码包被确认可以在...
PF_RING 6.0.2发布
勤能补拙
11-19 3720
DKMS、Sysdig、硬件时间戳更多。        2014年9月24日发布一个PF_RING的维护发行版,包括许多修复和增强,特别是:        1)我们已经移动DKMS上的二进制包,让他们独立于内核的版本,不管什么时候发行新内核版本,也可以让你更新。        2)我们在PF_RING中添加sysdig支持,以便你的PF_RING应用能够打开虚拟设备sysdig,在不要求sy
suricata 各个线程干的事情 -- WorkerThread
xuwaiwai的博客
01-14 1145
suricata 工作线程的运行流程
开源IDS suricata源码分析(协议解析添加流程
m0_50638175的博客
09-28 6594
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4442
suricata 各个线程的作用 -- 主线程
workers模式流程
wsk004321的专栏
05-19 1410
main:注册运行模式(添加到全局的运行模式数组runmodes中) RunModeRegisterRunModes(); -------------------------- RunModeIdsPcapRegister(); {     RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "workers",       
suricata程序架构
zrq293的博客
03-31 2010
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计数据输出,如pcap、json、unified2等,非常便于与Barnyard2等工具集成。 图1 图2 1.运行模式(runmode) Suricata有多种运行模...
chromedriver-mac-arm64_126.0.6474.0.zip
最新发布
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
suricata源码分析
08-12
1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值