网络入侵检测系统之Suricata(五)--Worker Model线程调度详解详解

最新推荐文章于 2024-03-08 09:58:01 发布
最新推荐文章于 2024-03-08 09:58:01 发布
阅读量292 收藏 9
点赞数 5
分类专栏: 网络入侵检测系统 文章标签: 网络 入侵检测 ips suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33823833/article/details/136553619
版权

Worker Mode线程调度

我们NIDS系统雏形版本目前采用的single模式,即Start One thread with each thread doing all the work,这里的实现可以类比suricata PCAP_FILE_DEV 模式,读取pcap文件并将其封装在Packet结构中,各个模块都靠packet结构传递,然后依次进行解码,重组,检测,解析,输出日志。

我们后续只需要将读取pcap的代码修改一下,对接dpdk的报文收发队列即可

  1. suricata会根据命令行参数 ./suricata -r http.pcap --runmode single,得到当前激活的运行模式为RUNMODE_PCAP_file, "single"
  2. RunModeDispatch(),初始化运行模式,通过RUNMODE_PCAP_file, "single"可以得到对应RunMode中的RunModeFunc,进入当前运行模式的初始化函数RunModeFilePcapSingle()
  3. 从配置树中得到"pcap-file.file",pcap文件路径,然后会设置一些参数,包括线程是否绑核,检测线程较CPU核数的比率
  4. single worker模式下无需创建队列,只设置了上一级和下一级队列的处理函数(handler->TmqhInputPacketpool+TmqhOutputPacketpool),以及功能模块插槽(slots->TmThreadsSlotPktAcqLoop)
  5. 线程创建完毕后会注册到线程池中统一管理,并标识该线程local id
  6. 线程启动,依次执行线程插槽中各个模块的初始化函数,并为flowworker模块额外分配一个flow queue和packet queue,分配完毕后,依次执行线程处理函数PktAcqLoop或Fuc

ReceivePcapFile TMmodule

从packetpool中获取一个空的报文描述符,然后读取一个目录或单个文件,然后填充报文描述符

DecodePcapFile TMmodule

解码报文,分片重组,解码ip层,mac层,tcp/udp等,填充报文描述符

FlowWorker TMmodule

StreamTCP:跟踪维护tcp流,重组tcp报文
检测引擎匹配
日志输出

流程图如下

于顾而言
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)
m0_50638175的博客
11-27 1274
这里写自定义目录标题开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)初始化及处理流程接口调用 开源IDS suricata源码分析(worker模式工作线程初始化及处理流程) 本文主要分析suricataworker工作模式下,工作线程的初始化及工作线程的处理流程。 初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
Suricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新...
Suricata的所有运行方式模式(图文详解
weixin_33850890的博客
08-09 3124
      不多说,直接上干货!     suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列...
Suricata-流关键字
Phantasm的博客
09-02 1436
Thank Zhihao Tao for your hard work. The document spent countless nights and weekends, using his hard work to make it convenient for everyone. If you have any questions, please send a email to zhihao.tao@outlook.com 文章目录1. `flowbits`1.1 `flowbits`安装1.2 .
Suricata-流的获取
Phantasm的博客
08-18 1045
文章目录1. 概念2. 流的获取2.1 流的分配3. 流的队列3.1 spare队列3.1.1 入队3.1.2 出队3.2 recycle队列3.2.1 入队3.2.2 出队 1. 概念 流是从特定源发送到特定单播、泛播或多播目的地的数据包序列。流可以由特定传输连接或媒体流中的所有数据包组成。但是,流不一定是1:1映射到传输连接上。 传统上,流是基于源地址和目的地址、源端口和目的端口,及传输协议类型的5元组来区分。 参见RFC-3697 通常我们也指从一端到另一端的一次网络数据传输过程。其包含连接的建立
suricata 程序架构
m0_38091107的博客
08-09 3704
suricata程序架构运行模式packet流水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
网络入侵检测系统Suricata(六)--规则加载模块代码详解
诗酒趁年华
03-08 254
Suricata规则加载流程图
网络入侵检测系统Suricata(十)--IPOnly/Radix Tree详解
诗酒趁年华
03-08 1007
IpOnly规则比较特殊,一般认为命中源和目的ip地址,再校验以下其他头部信息,就可以认为该报文 可以命中这条规则。Radix Tree本质是一个二叉树,由内部节点和外部节点,内部节点用于指示需要进行bit test的位置,并根据测试结果决定查找方向,外部节点则用于存储键值。Suricata具体实现在IPOnlyPrepare中,它分别建立了4个Radix Tree,代表源ipv4/6,目的ipv4/6。,路由表查找本质就是对目的ip进行 最长掩码匹配,而索引到路由表中的下一跳。
网络入侵检测系统Suricata(三)--日志代码详解
诗酒趁年华
01-15 3309
Log Module Q1:suricata日志以什么文件格式存储? 分为三类:json、log,pcap格式 Q2:suricata日志都分了哪些级别? 日志level分为:Emergency、Alert、Critical、Error、Warning、Notice、Info,Debug Q3:suricata日志记录哪些信息,内容以什么形式组织的? eve.json suricata所有的告警,元数据,文件信息和特定协议记录都会记录在eve.json中,事件类型 分为alert、http、dns、tls,
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip
04-15
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip本资源中的源码都是经过本地编译过可运行的,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心...
基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip
01-16
基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip基于Suricata简单...
基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip
最新发布
05-25
基于Suricata简单的网络入侵检测系统源码+项目截图(本科毕设).zip个人经导师指导并认可通过的高分设计项目,评审分98分。主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者,也可作为课程设计...
基于Suricata简单的网络入侵检测系统demo源码+项目说明(毕业设计).zip
01-24
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和...基于Suricata简单的网络入侵检测系统demo源码+项目说明(毕业设计).zip
网络入侵检测系统Suricata(一)
诗酒趁年华
12-25 3676
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络流量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
网络入侵检测系统之Snort(一)
诗酒趁年华
11-23 3493
作者:于顾而言 版权:本文版权归作者所有 转载:欢迎转载,但未经作者同意,必须保留此段声明;必须在文章中给出原文连接;否则必究法律责任 What is Snort Snort是世界最顶尖的开源入侵检测系统 Snort IDS利用一系列的规则去定义恶意网络活动,against匹配到的报文并给用户告警 Snort主要用法,第一种类似TCP dump,作为网络sniffer使用,调试网络流量,第二种用于特征识别的网络入侵检测 线上Snort规则一种是免费的社区规则,一种是付费的订阅(Cisco Talos)
网络入侵检测系统Suricata(二)
诗酒趁年华
01-07 1547
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1266
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件;插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
网络入侵检测系统Suricata(七)--DDOS流量检测模型
诗酒趁年华
03-08 1229
大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。针对 Web 服务在第七层协议发起的攻击,正常的有效的数据包 不断发出针对不同资源和页面的 HTTP 请求,并尽可能请求无法被缓存的资源(DB查询等),这样就极大加重了服务器的计算和IO资源,从而导致瘫痪。攻击者截取IP数据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中的偏移字段值正确组合出被拆分的数据包,这样,接收端会不停的尝试,以至操作系统因资源耗尽而崩溃。
suricata v8.0.0 英文原版用户手册
01-08
Suricata是一款强大的网络安全工具,它作为网络入侵检测系统(IDS)和流量分析器,能够有效地保护网络免受恶意活动的侵害。以下是对该用户手册内容的详细说明: 1. 什么是Suricata Suricata是由OISF维护的开源项目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

于顾而言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值