suricata 3.1 源码分析1

最新推荐文章于 2023-09-21 08:59:57 发布
最新推荐文章于 2023-09-21 08:59:57 发布
阅读量4.1k 收藏 13
点赞数 1
分类专栏: suricata suricata源码分析 文章标签: suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52326062
版权

原文链接: http://www.9mblog.com/5.html

首先进入main函数

    int main(int argc, char **argv)
    {
    SCInstance suri;

    SCInstanceInit(&suri);  

/*SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数
传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数
或一堆全局变量。SCInstanceInit函数,顾名思义,即是对suri中各个字段进行初始化。
注意,这里对所有字段都进行了显示初始化,因为虽然一个memset清零已经基本达到目的了,但显示地将
各个成员设成0/NULL/FALSE对于可读性来说还是有好处的,可以明确地说明各个字段的初始值,且对扩展
性也会有好处,例如若后续初始化需要设置一些非0值(如用-1表示无效值),直接更改就好了*/


    suri.progname = argv[0];

//将progname指向argv[0], 就是可执行程序的名字。

    sc_set_caps = FALSE;
/*初始化sc_set_caps为FALSE –> 标识是否对主线程进行特权去除(drop privilege),
主要是出于安全性考虑。*/

    SC_ATOMIC_INIT(engine_stage);
/*初始化原子变量engine_stage –> 记录程序当前的运行阶段:SURICATA_INIT、
SURICATA_RUNTIME、SURICATA_FINALIZE*/

    /* initialize the logging subsys */
    SCLogInitLogModule(NULL);
//初始化日志模块,因为后续的执行流程中将使用日志输出,所以需要最先初始化该模块。

    void SCLogInitLogModule(SCLogInitData *sc_lid)
    {
        /* 清除之前的logModule*/
        SCLogDeInitLogModule();

    /* 为SCLogConfig类型申请内存空间,sc_log_config 是全局变量 */
    if ( (sc_log_config = SCMalloc(sizeof(SCLogConfig))) == NULL) {
        SCLogError(SC_ERR_FATAL, "Fatal error encountered in SCLogInitLogModule. Exiting...");
        exit(EXIT_FAILURE);
    }
    memset(sc_log_config, 0, sizeof(SCLogConfig));

/* 初始化一些重要指标,现在sc_lid为NULL,所以全部为默认值 */

    SCLogSetLogLevel(sc_lid, sc_log_config);
    SCLogSetLogFormat(sc_lid, sc_log_config);
    SCLogSetOPIface(sc_lid, sc_log_config);
    SCLogSetOPFilter(sc_lid, sc_log_config);

    sc_log_module_initialized = 1;
    sc_log_module_cleaned = 0;

    //SCOutputPrint(sc_did->startup_message);

    return;
    }


    if (SCSetThreadName("Suricata-Main") < 0) {
    SCLogWarning(SC_ERR_THREAD_INIT, "Unable to set thread name");
     }

//设置主程序名为“Suricata-Main”,SCSetThreadName是预定义的宏。

    ParseSizeInit();

/*初始化ParserSize模块 –> 使用正则表达式来解析类似“10Mb”这种大小参数,
其中正则引擎用的是pcre,因此初始化时就是调用pcre_compile、pcre_study对已经写好的
正则表达式进行编译和预处理。*/
高晓伟_Steven
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像 用法 您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface> 但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ -v $(pwd)/logs:/var/log/suricata \ jasonish/suricata:latest -i <interface> 它将日志目录(在当前目
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用。 定期更新Suricata规则,并将其保存在管理良好的数据库中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷的样本 参考 文件.rules拥有Suricata规则本身。 笔记 许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制模式。 使用零拷贝PKT解码和其他层 工作正在进行中 使用https://github.com/vipinpv85/DPDK-Suricata_3.0 SW ACL对方向规则进行分类。 事情完成了 来自数据包获取阶段的数据包的零副本 添加了4种tx_buffer_flush模式-0:无,1:4、2:8、3:16 对重组后的数据包实施SW或HW对称散列。 将dpdk配置移到suricata.yaml 允许多名工人,而不是单名工人 允许带有RSS的多个RX队列(默认) 将dpd
suricata-5.0.3源码
07-30
suricata-5.0.3源码包,亲测在 centos7下能编译通过 ,suricata是最新的入侵检测与入侵防御开源的软件,是 snort的最新替代版
suricata 源码分析之行锁
guoguangwu的专栏
03-18 1843
此博客讨论的是在多线程下链式哈希表的行锁的使用,主要是针对对哈希表的表锁,二者各有优缺点。 表锁哈希表,只有一把锁,内存少,实现简单,但是在并发访问时,效率极其低下; 行级锁哈希表则每一行都有一把锁,内存开销大,实现复杂,但是在大并发,高效率的后台服务程序中使用非常广泛。suricata就声称自己可以处理万兆网络,这和多线程架构和更细粒度的锁的机制是分不开的。 ...
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4548
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 646
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata源码解析
最新发布
唐装鼠的主页
09-21 353
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6265
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 2476
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进行规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
suricata 3.1 源码分析3
superbfly的专栏
08-30 2817
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
suricata中DPDK收发包源码分析1
每天分享一个编程小知识
05-14 521
2)source-dpdk.c在RegisterAllModules()函数中调用TmModuleReceiveDPDKRegister()和TmModuleDecodeDPDKRegister()来注册DPDK对应的收包和解码两个module,大部分代码是对这两个module提供的API函数的实现,包括收包前的初始化和收取报文,解码前的初始化和报文解码。好了,关于suricata中DPDK收发包的初始化以及框架代码的分析就到这里了。
Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 2873
流管理包括流表的初始化,流的新建、查找、更新、检查老化、流的回收、空闲流数量的动态维护
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4352
suricata 各个线程的作用 -- 主线程
推荐一本互联网企业安全建设的好书
chennqqi的专栏
07-15 377
推荐一本互联网企业安全建设的好书,《互联网安全建设从0到1》。本书揉合作者多年丰富的安全经验,既可作为安全工程师的工具手册,解决各类常见的安全问题,也可以指导安全负责人如...
Surciata源码分析之IpsNFQ模式(1)
Firedb的专栏
05-18 6825
最近看了一下suricata-1.2.1的源代码,加之之前在网上没有搜到关于suricata分析资料,所以就把看源码时的一些笔记整理了一下,发到网上,供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客,不足之处还望看到此文章的网友见谅! 先还是进行简要的介绍一下,Suricata 是一个网络入侵检测和阻止引擎,由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多
suricata 3.1 源码分析7
superbfly的专栏
09-05 2231
DetectEngineCtx *de_ctx = NULL; if (!suri.disabled_detect) { //detect设为启用 SCClassConfInit(); 解析Class相关正则 SCReferenceConfInit(); 解析Refference相关正则 SetupDelayedDetect(&suri);
suricata 3.1 源码分析5
superbfly的专栏
09-01 4089
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata源码分析
08-12
1. 数据包解析:Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值