suricata学习--结构及代码解读

最新推荐文章于 2024-06-06 17:56:45 发布
最新推荐文章于 2024-06-06 17:56:45 发布
阅读量6.5k 收藏 21
点赞数 4
分类专栏: suricata

线程、槽和模块之间的关系

suricata中tv、slot和tm的关系必须要搞清楚,汇总如下:

tv:ThreadVars类型,线程。
slot:TmSlot类型,槽。
tm:TmModule类型,模块。

下面必须要结合三者的定义,阅读代码的时候也关注下三者关系。
----------------------------------------
线程的定义:
typedef struct ThreadVars_ {
    pthread_t t;                      // 线程id
    char *name;                       // 线程name
    char *thread_group_name;          // 线程group name
    SC_ATOMIC_DECLARE(unsigned short, flags); // 原子声明,不知道作用,暂且不管
    uint8_t aof;                      // 线程遇到故障时怎么做
    uint8_t type;                     // 线程类型,例如:TVT_PPT, TVT_MGMT
    uint8_t restarted;                // 线程重新启动失败的次数
    Tmq *inq;
    Tmq *outq;
    void *outctx;
    char *outqh_name
    struct Packet_ * (*tmqh_in)(struct ThreadVars_ *);
    void (*InShutdownHandler)(struct ThreadVars_ *);
    void (*tmqh_out)(struct ThreadVars_ *, struct Packet_ *);
    void *(*tm_func)(void *);
    struct TmSlot_ *tm_slots;
    uint8_t thread_setup_flags;
    uint16_t cpu_affinity;
    int thread_priority;                // 线程优先级
    SCPerfContext sc_perf_pctx;
    SCPerfCounterArray *sc_perf_pca;
    SCMutex *m;
    SCCondT *cond;

    uint8_t cap_flags;
    struct ThreadVars_ *next;
    struct ThreadVars_ *prev;
} ThreadVars;
-----------------------------------------
槽slot的定义:
typedef struct TmSlot_ {

    ThreadVars *tv;                       // 拥有该slot的线程
    SC_ATOMIC_DECLARE(TmSlotFunc, SlotFunc);// 函数指针
    TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);      // 模块数据包获取函数
    TmEcode (*SlotThreadInit)(ThreadVars *, void *, void **); // 模块初始化执行函数
    void (*SlotThreadExitPrintStats)(ThreadVars *, void *);   // 模块退出打印函数
    TmEcode (*SlotThreadDeinit)(ThreadVars *, void *);        // 模块清理执行函数
    void *slot_initdata;  // 数据存储
    SC_ATOMIC_DECLARE(void *, slot_data);
    PacketQueue slot_pre_pq;
    PacketQueue slot_post_pq;
    int tm_id;  // tm ID
    int id;     // slot ID
    struct TmSlot_ *slot_next;
} TmSlot;
-------------------------------------------------
模块定义:
typedef struct TmModule_ {
    char *name;          // 模块名称
    TmEcode (*ThreadInit)(ThreadVars *, void *, void **);
    void (*ThreadExitPrintStats)(ThreadVars *, void *);
    TmEcode (*ThreadDeinit)(ThreadVars *, void *);
    TmEcode (*Func)(ThreadVars *, Packet *, void *, PacketQueue *, PacketQueue *);
    TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);
    TmEcode (*Init)(void);
    TmEcode (*DeInit)(void);
    void (*RegisterTests)(void);
    uint8_t cap_flags;  
    uint8_t flags;
} TmModule;
===============================================
将三者的定义放在一起目的是方便查看,其中部分变量目前还不清楚具体含义,日后补充。
三者之间关系如下图所示:
三者之间的关系,每一个线程都包含一个slot的链表,每个slot结点都悬挂着不同的模块,程序执行的时候会遍历slot链表,按照加入链表的熟悉执行模块。

再从main()函数看起 --- 模式、模块、线程和槽

 >
经过上面几篇Blog的学习步骤,到今天再回过头去看了下main函数的执行过程,把重点几个步骤重新整理了下,方便更深入的理解架构。

1. 注册各种运行模式
   RunModeRegisterRunModes()函数
   
   RunModeIdsPcapRegister();      // IDS+pcap
   RunModeFilePcapRegister();     // File+pcap
   RunModeIdsPfringRegister();    // IDS+pfring
   RunModeIpsIPFWRegister();      // IPS+ipfw
   RunModeIpsNFQRegister();       // IPS+nfq
   RunModeErfFileRegister();      // erf+file
   RunModeErfDagRegister();       // erf+dag
   RunModeNapatechRegister();     // napatech
   RunModeIdsAFPRegister();       // IDS+AFP
   RunModeUnixSocketRegister();   // UnixSocket
   其中每一种运行模式调用RunModeRegisterNewRunMode注册各自的Custom mode(暂且翻译为“自定义模式”)
   
   RunModeRegisterNewRunMode设置各种运行模式的执行函数
   例如:RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "single",
                              "Single threaded pcap live mode",
                              RunModeIdsPcapSingle);
   将执行函数添加到runmodes全局数组中。
   全局Runmodes类型数组runmodes保存运行模式,存储结构如下图:
   

2. 注册模块
   注册suricata所支持的所有线程模块
   
   TmModuleReceiveNFQRegister();
   TmModuleVerdictNFQRegister();
   TmModuleDecodeNFQRegister();
   
   TmModuleReceiveIPFWRegister();
   TmModuleVerdictIPFWRegister();
   TmModuleDecodeIPFWRegister();
   
   TmModuleReceivePcapRegister();
   TmModuleDecodePcapRegister();
   
   TmModuleReceivePcapFileRegister();
   TmModuleDecodePcapFileRegister();
   ……
   ……
   函数内部实现:
   void TmModuleReceivePcapRegister (void) 
   {
    tmm_modules[TMM_RECEIVEPCAP].name = "ReceivePcap";
    tmm_modules[TMM_RECEIVEPCAP].ThreadInit = ReceivePcapThreadInit;
    tmm_modules[TMM_RECEIVEPCAP].Func = NULL;
    tmm_modules[TMM_RECEIVEPCAP].PktAcqLoop = ReceivePcapLoop;
    tmm_modules[TMM_RECEIVEPCAP].ThreadExitPrintStats = ReceivePcapThreadExitStats;
    tmm_modules[TMM_RECEIVEPCAP].ThreadDeinit = NULL;
    tmm_modules[TMM_RECEIVEPCAP].RegisterTests = NULL;
    tmm_modules[TMM_RECEIVEPCAP].cap_flags = SC_CAP_NET_RAW;
    tmm_modules[TMM_RECEIVEPCAP].flags = TM_FLAG_RECEIVE_TM;
   }
   保存在全局TmModule tmm_modules[TMM_SIZE]数组中。
   typedef struct TmModule_ 
   {
      char *name;
      TmEcode (*ThreadInit)(ThreadVars *, void *, void **); // 线程初始化函数
      void (*ThreadExitPrintStats)(ThreadVars *, void *); // 线程退出打印函数
      TmEcode (*ThreadDeinit)(ThreadVars *, void *); // 线程关闭函数
      TmEcode (*Func)(ThreadVars *, Packet *, void *, PacketQueue *, PacketQueue *);
      TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);
      TmEcode (*Init)(void);// 全局初始化模块函数
      TmEcode (*DeInit)(void);// 全局关闭模块函数
      void (*RegisterTests)(void);
      uint8_t cap_flags;  
      uint8_t flags;
    } TmModule;
  
  存储结构如下图所示:

3. 模块初始化
   TmModuleRunInit()函数
   调用tmm_modules[TMM_SIZE]数组中模块各个模块初始化函数。
    for (i = 0; i < TMM_SIZE; i++)
    {
        t = &tmm_modules[i];
        t->Init(); // 注意这里执行的是模块全局初始化函数
    }

4. 运行模式调度
   RunModeDispatch()函数
  • 从配置中读取运行模式。
  • 获得该运行模式中默认的Custom mode(如:single、auto等)。
  • 执行Custom mode中设置的执行函数,如上图中所示的“执行函数”。
5. 运行模式执行函数
   例如:RunModeFilePcapSingle()
  • 通用模块初始化RunModeInitialize
  • 创建tv实例TmThreadCreatePacketHandler
  • 从tmm_modules中获得模块TmModuleGetByName
  • 插入槽slot
  • TmThreadSpawn真正创建线程函数

整理下执行顺序:
  • 运行模式注册,设置执行函数
  • 所有模块注册,设置模块相关函数
  • 所有模块初始化
  • 从配置获取运行模式类型,执行函数
  • 创建线程
  • 根据模块名称从全局数组tmm_modules中得到模块指针
  • 插入线程槽slot


沈万三gz
关注
  • 4
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3030
系统安全将更好地帮助初学者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
Suricata-7.0 源码分析之流表建立FlowWorker
wenze123的博客
01-20 1083
Suricata-7.0 FlowerWorker 流表建立
suricata中DPDK收发包
finley_feng的博客
06-06 276
->LiveRegisterDevice(遍历pre_live_devices链表,读取pcie地址到live_devices链表中,后续提供网口pcie相关的函数都是从live_devices链表获取,比如LiveGetDeviceCount)-->LiveRegisterDeviceName(读取所有DPDK配置的pcie地址接口,放到pre_live_devices链表中)DPDK的收包也是增加了runmode-dpdkintel.c和source-dpdkintel.c两个文件。
从零开始使用Surya-OCR——项目源码拆解
qq_58718853的博客
04-16 1419
本文记录详细拆解surya项目源代码,以及在实际部署中对模型的进一步修改服务于实际应用
对STIX2.0标准12个构件的解读
热门推荐
fufu_good的博客
01-29 9万+
简介 STIX是一种描述网络威胁信息的结构化语言,STIX 能够以标准化和结构化的方式获取更广泛的网络威胁信息。 STIX 1.0定义了8种构件:可观测数据(Observation)、攻击指标(Indicator)、安全事件(Incident)、攻击活动(Campaign)、威胁主体(Threat Actor)、攻击目标(ExploitTarget)、攻击方法(TTP)、应对措施(CourseOf...
入侵检测技术框架总论
Sumarua的博客
08-06 7912
文章目录1. 引言,网络安全态势理解0x1:网络安全检测的描述0x2:安全分析2. 入侵检测0x1:入侵检测通用模型`1. CIDF体系结构 `1)事件产生器(event generators)2)事件分析器(event analyers)3)事件数据库(event databases)4)响应单元(response units)`2. CIDF规范语言 ``3. CIDF内部通讯 ``4. CIDF程序接口 `3. 入侵检测系统分类0x1:根据检测所用数据源进行分类`1. 基于主机的入侵检测系统(HIDS
CSDN博客专家证书发放名单(已暂停)
CSDN 官方博客
07-12 5万+
博客专家专属奖励。
wuyun知识库目录
Grey的博客
01-15 7541
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
Spark资源优化
qq_40308028的博客
08-15 1337
原 Spark资源优化 ...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata4.1.10-用户手册
12-18
4.1章节详细阐述了Suricata规则的格式和结构,这是识别网络流量中异常行为的关键。规则包含了匹配条件、动作和元数据,用于指示Suricata何时发出警报或采取行动。4.2至4.13章节分别详细介绍了各种关键词,如元关键词...
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
基于Java开发的银行管理系统后台bankproject-master.zip
07-26
基于Java开发的银行管理系统后台bankproject-master.zip
基于Java实现的企业考勤管理系统(源代码+数据库SQL).rar
07-26
基于Java实现的企业考勤管理系统(源代码+数据库SQL).rar
【SCI1区】Matlab实现三角测量拓扑聚合优化器TTAO-Transformer-GRU故障诊断算法研究.rar
07-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【SCI1区】Matlab实现蛇群优化算法SO-Transformer-GRU故障诊断算法研究.rar
最新发布
07-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
suricata detect-dns-query.c
05-25
`detect-dns-query.c` 是 Suricata 中的一个规则文件,用于检测 DNS 查询流量。 Suricata 是一款开源的网络入侵检测系统(IDS)和入侵防御系统(IPS),它可以监控网络流量并检测潜在的攻击行为。 `detect-dns-query.c` 的具体实现可以在 Suricata 的源代码中找到,它是一段 C 语言代码,使用 Suricata 提供的 API 对 DNS 查询流量进行检测。在 Suricata 中,用户可以编写自己的规则文件来检测特定的网络流量,这些规则文件可以使用类似 `detect-dns-query.c` 这样的 C 语言代码来实现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值