Suricata之源代码(三)

最新推荐文章于 2024-05-27 18:47:46 发布
最新推荐文章于 2024-05-27 18:47:46 发布
阅读量2.8k 收藏 4
点赞数
分类专栏: suricata的学习 文章标签: 源代码 信息安全 开源 安全 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianligaoshan/article/details/23618673
版权
本文详细介绍了Suricata的配置文件Suricata.yaml,包括Yaml文件的概念、诞生、命名及功能。重点讲解了Max-pending-packets、Runmodes、Default-packet-size等关键配置项,以及它们在Suricata检测引擎中的作用。同时,提到了Action-order的各种操作,如drop、reject和alert,并概述了Outputs和Multi-pattern-matcher的重要性。
摘要由CSDN通过智能技术生成

Yaml文件的构造

        准备说下面代码所干的事情之前,我准备介绍一下suricata.yaml文件。介绍引用自百度百科Yaml

概念

    YAML(IPA: /ˈjæməl/,尾音类似camel骆驼)是一个可读性高,用来表达资料序列的编程语言,
    YAML是一种很简单的类似于XML的数据描述语言,语法比XML简单很多。

诞生

    YAML参考了其他多种语言,包括:XMLC语言PythonPerl以及电子邮件格式RFC2822。
    Clark Evans在2001年5月在首次发表了这种语言[2],另外Ingy döt Net与Oren Ben-Kiki也是这语言的共同设计者。

命名

    YAML是"YAML Ain't a Markup Language"(YAML不是一种置标语言)的递归缩写。
    在开发的这种语言时,YAML 的意思其实是:"Yet Another Markup Language"(仍是一种置标语言),但为了强调这种语言以数据做为中心,而不是以置标语言为重点,而用返璞词重新命名。

功能

    YAML的语法和其他高阶语言类似,并且可以简单表达清单、散列表,标量等资料形态、。
    它使用空白符号缩排和大量依赖外观的特色,特别适合用来表达或编辑数据结构、各种设定档、倾印除错内容、文件大纲(例如:许多电子邮件标题格式和YAML非常接近)。
    尽管它比较适合用来表达阶层式(hierarchical model)的数据结构,不过也有精致的语法可以表示关联性(relational model)的资料。
    由于YAML使用空白字符和分行来分隔资料,使的他特别适合用grep、Python、Perl、Ruby操作。
    其让人最容易上手的特色是巧妙避开各种封闭符号,如:引号、各种括号等,这些符号在巢状结构时会变得复杂而难以辨认。

Suricata.yaml

    suricata的整个配置都是通过Yaml来配置的,在我认为它也就是一种key-value的形式。通过不同的缩进来区分孩子。
 
classification-file: /etc/suricata/classfication.config  //这是对classification.config的配置路径
reference-config-file: /etc/suricata/reference.config    //这是对reference.config的配置路径
magic-file: /usr/share/file/magic                       //这是对magic文件的配置路径
最低0.47元/天 解锁文章
我叫程序猿XXX
关注
专栏目录
Suricata源代码(一)
qianligaoshan的专栏
04-09 3000
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
Suricata源代码(二)
qianligaoshan的专栏
04-11 1855
在前面我
suricata 源码详细讲解
化茧成蝶007
08-31 1675
从main函数开始 https://my.oschina.net/openadrian/blog/184621
suricata源码解析
唐装鼠的主页
09-21 666
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4713
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata之linux编译
hezhanran的博客
10-26 2930
suricata编译
snort源代码
05-20
源代码的获取通常是为了解其工作原理、进行定制化开发或者修复特定问题。对于“snort源代码”这个主题,我们可以深入探讨以下几个关键知识点: 1. **Snort的工作原理**:Snort基于规则驱动的机制,它通过解析网络...
开源IDS suricata 源码分析(零、开篇)
m0_50638175的博客
09-12 1168
背景:记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
DPDK_Suricata_4.1.rar
08-30
使用DPDK 加速suricata-4.1.4源码。 DPDK版本 dpdk-stable-18.11。 Suricata版本 suricata-4.1.4 。 编译:./configure --enable-dpdk
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3442
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
suricata 3.1 源码分析3
superbfly的专栏
08-30 2872
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
Suricata源码解析-开启从小白到小白必经之路
最新发布
qq_54078539的博客
05-27 259
Suricata源码分析
suricata 3.1 源码分析6
superbfly的专栏
09-02 1802
if (suri.run_mode != RUNMODE_UNIX_SOCKET) { FlowInitConfig(FLOW_VERBOSE); 初始化Flow engine。用来表示一条TCP/UDP/ICMP/SCTP流的,程序当前所记录的所有流便组成了流表,在flow引擎中,流表为flow_hash这个全局变量,其类型为FlowBucket *,而FlowBucket
suricata 3.1 源码分析4
superbfly的专栏
08-31 2759
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小写字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
suricata 3.1 源码分析12
superbfly的专栏
09-12 1981
int engine_retval = EXIT_SUCCESS; while(1) { if (sigterm_count) { suricata_ctl_flags |= SURICATA_KILL; } else if (sigint_count) { suricat
suricata 3.1 源码分析24 (数据包解码模块执行)
superbfly的专栏
09-29 2002
/** * \brief This function passes off to link type decoders. * * DecodePcap reads packets from the PacketQueue and passes * them off to the proper link type decoder. * * \param t pointer to Threa
Suricata数据包捕获与负载均衡详解
安装Suricata可以通过源代码或二进制包完成,对于不同操作系统如Ubuntu、Debian、Fedora、RHEL/CentOS,有不同的安装指南。Suricata的规则系统是其功能的核心,包括定义动作、协议、源/目的地址、端口、方向等,以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值