Suricata之源代码(一)

最新推荐文章于 2024-04-16 16:09:17 发布
VIP文章 最新推荐文章于 2024-04-16 16:09:17 发布
阅读量2.9k 收藏 3
点赞数
分类专栏: suricata的学习 文章标签: 安全 信息安全 开源 c语言 源代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianligaoshan/article/details/23293935
版权

        第一次系统性的写blog,写的不好,请大家多多包涵。

        在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ctx比喻为火柴。在suricata中也是这样,最后通过global_de_ctx将suricata运行起来的。就好比是global_de_ctx打通了suricata的任督二脉。

DetectEngineCtx结构体在detect.h中。

typedef structDetectEngineCtx_ {

    uint8_t flags;

    int failure_fatal;

 

    Signature *sig_list;

    uint32_t sig_cnt;

 

    /* version of the srep data */

    uint32_t srep_version;

 

    Signature **sig_array;

    uint32_t sig_array_size; /* size in bytes*/

    uint32_t sig_array_len;  /* size in array members */

 

    uint32_t signum;

 

    /* used by the signature ordering module */

    struct SCSigOrderFunc_ *sc_sig_order_funcs;

    struct SCSigSignatureWrapper_*sc_sig_sig_wrapper;

 

    /*hash table used for holding the classification config info */

    HashTable *class_conf_ht;

    /* hash table used for holding thereference config info */

    HashTable *reference_conf_ht;

 

    /* main sigs */

    DetectEngineLookupFlowflow_gh[FLOW_STATES];

 

    uint32_t mpm_unique, mpm_reuse, mpm_none,

        mpm_uri_unique, mpm_uri_reuse,mpm_uri_none;

    uint32_t gh_unique, gh_reuse;

 

    uint32_t mpm_max_patcnt, mpm_min_patcnt,mpm_tot_patcnt,

        mpm_uri_max_patcnt, mpm_uri_min_patcnt,mpm_uri_tot_patcnt;

 

    /* init phase vars */

    HashListTable *sgh_hash_table;

 

    …….

}DetectEngineCtx;

下面还有很长没有贴出来,这个结构体非常的大。想想它确实是应该这么大的。毕竟它就是suricata的心脏嘛!

Suricata是c语言开发的,而c语言的起始点是从main()函数开始的,为了好找到入口点,所以在写代码的时候就规定了从main函数开始。而suricata的入口main函数是在suricata.c文件中。

最低0.47元/天 解锁文章
我叫程序猿XXX
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Suricata源码阅读笔记:数据包源
weixin_34221036的博客
12-19 486
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata的简介以及安装过程
qianligaoshan的专栏
04-08 6077
Suricata介绍
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)...
weixin_33910385的博客
08-09 939
      不多说,直接上干货!     为什么,要这篇论文?    是因为,目前科研的我,正值研三,致力于网络安全、大数据、机器学习研究领域!   论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此,为了需要的博友们,能在自己虚拟机里(我这里是CentOS6.5)来搭建部署snort+barnyard2+base的...
linux中网卡的流量怎么通过c语言获取_使用Suricata和ELK进行流量检测
weixin_39722965的博客
11-24 520
0x00 背景公司流量检测项目推进,需求如下:在办公网、生产网流量中发现攻击行为(如端口扫描、暴力破解、web攻击、溢出攻击等攻击行为,以及webshell、挖矿木马、C2控制端等),最终输出到内部威胁感知平台做日常运营。提取http数据,后续对接漏扫。流量中的文件提取。后续对接沙箱或相关恶意文件检测接口(例如virustotal等)进行恶意文件检测。之前对比了Snort和Suricata,由于性...
Suricata是什么?
weixin_33770878的博客
08-17 567
      不多说,直接上干货!       见Suricata的官网 https://suricata.readthedocs.io/en/latest/what-is-suricata.html         snort、suircata、bro,这三个都是非常优秀的IDS(入侵检测系统)。由于对bro没有深入了解,我们对比了snort和suricata,结合sur...
流量平台之(流影)扩展解决方案_arkime存储,2024年最新月薪20k+的网络安全面试都问些什么
最新发布
2401_83621784的博客
04-16 265
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。Malcolm的主要目的是简化网络流量分析和入侵检测的过程,帮助安全团队更有效地监控网络环境并应对潜在的网络威胁。配置Arkime和Suricata:根据您的网络环境和需求,配置Arkime和Suricata的设置。配置QNSM和Suricata:根据您的网络环境和需求,配置QNSM和Suricata的设置。
Suricata源码阅读笔记:数据包队列
weixin_34199405的博客
12-26 279
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata 源码详细讲解
化茧成蝶007
08-31 1610
从main函数开始 https://my.oschina.net/openadrian/blog/184621
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 572
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata UT之SigTableSetup中关键字的功能函数解析一
村中少年的专栏
05-08 1462
介绍SigTableSetup中二进制协议字段,例如ACK,SEQ等关键字的解析,执行过程,分析了规则加载,引擎检测的主要结构
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
Suricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新...
源代码阅读笔记:源码阅读笔记
02-03
1,关于本书 本书主要记录工作过程中阅读过的一些开源项目的二进制文件,并合并自己的分析与注解,目前专注于k8s云原生实践,包括但不限于docker,kubernetes,etcd,prometheus,istio,knative,serverless等相关...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
Suricata源代码(三)
qianligaoshan的专栏
04-13 2778
这次我
suricata7.0代码里解析dns流程和函数调用栈
05-25
Suricata 7.0 中解析 DNS 流程的主要过程如下: 1. 接收到 DNS 报文并进行解析。 2. 检查 DNS 报文中的域名是否符合规范,如是否有空格或非法字符等。 3. 检查 DNS 报文中的查询类型和查询类是否合法。 4. 根据 DNS 报文中的查询类型和查询类,进行相应的查询操作,如查询 A 记录、AAAA 记录、MX 记录等。 5. 将 DNS 解析结果存储到相应的数据结构中。 6. 根据解析结果进行后续的处理,如匹配规则、生成警报等。 在 Suricata 7.0 中,DNS 解析主要由以下几个函数实现: 1. dns_dissect_pkt:解析 DNS 报文。 2. dns_dissect_query:解析 DNS 查询报文。 3. dns_dissect_response:解析 DNS 响应报文。 4. dns_query_type_name:根据查询类型获取查询类型名称。 5. dns_rcode_name:根据响应码获取响应码名称。 函数调用栈示例: dns_dissect_pkt -> dns_dissect_query -> dns_query_type_name dns_dissect_pkt -> dns_dissect_response -> dns_rcode_name

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值