suricata 3.1 源码分析1

最新推荐文章于 2024-01-20 16:14:41 发布
最新推荐文章于 2024-01-20 16:14:41 发布
阅读量4.2k 收藏 13
点赞数 1
分类专栏: suricata suricata源码分析 文章标签: suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52326062
版权

原文链接: http://www.9mblog.com/5.html

首先进入main函数

    int main(int argc, char **argv)
    {
    SCInstance suri;

    SCInstanceInit(&suri);  

/*SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数
传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数
或一堆全局变量。SCInstanceInit函数,顾名思义,即是对suri中各个字段进行初始化。
注意,这里对所有字段都进行了显示初始化,因为虽然一个memset清零已经基本达到目的了,但显示地将
各个成员设成0/NULL/FALSE对于可读性来说还是有好处的,可以明确地说明各个字段的初始值,且对扩展
性也会有好处,例如若后续初始化需要设置一些非0值(如用-1表示无效值),直接更改就好了*/


    suri.progname = argv[0];

//将progname指向argv[0], 就是可执行程序的名字。

    sc_set_caps = FALSE;
/*初始化sc_set_caps为FALSE –> 标识是否对主线程进行特权去除(drop privilege),
主要是出于安全性考虑。*/

    SC_ATOMIC_INIT(engine_stage);
/*初始化原子变量engine_stage –> 记录程序当前的运行阶段:SURICATA_INIT、
SURICATA_RUNTIME、SURICATA_FINALIZE*/

    /* initialize the logging subsys */
    SCLogInitLogModule(NULL);
//初始化日志模块,因为后续的执行流程中将使用日志输出,所以需要最先初始化该模块。

    void SCLogInitLogModule(SCLogInitData *sc_lid)
    {
        /* 清除之前的logModule*/
        SCLogDeInitLogModule();

    /* 为SCLogConfig类型申请内存空间,sc_log_config 是全局变量 */
    if ( (sc_log_config = SCMalloc(sizeof(SCLogConfig))) == NULL) {
        SCLogError(SC_ERR_FATAL, "Fatal error encountered in SCLogInitLogModule. Exiting...");
        exit(EXIT_FAILURE);
    }
    memset(sc_log_config, 0, sizeof(SCLogConfig));

/* 初始化一些重要指标,现在sc_lid为NULL,所以全部为默认值 */

    SCLogSetLogLevel(sc_lid, sc_log_config);
    SCLogSetLogFormat(sc_lid, sc_log_config);
    SCLogSetOPIface(sc_lid, sc_log_config);
    SCLogSetOPFilter(sc_lid, sc_log_config);

    sc_log_module_initialized = 1;
    sc_log_module_cleaned = 0;

    //SCOutputPrint(sc_did->startup_message);

    return;
    }


    if (SCSetThreadName("Suricata-Main") < 0) {
    SCLogWarning(SC_ERR_THREAD_INIT, "Unable to set thread name");
     }

//设置主程序名为“Suricata-Main”,SCSetThreadName是预定义的宏。

    ParseSizeInit();

/*初始化ParserSize模块 –> 使用正则表达式来解析类似“10Mb”这种大小参数,
其中正则引擎用的是pcre,因此初始化时就是调用pcre_compile、pcre_study对已经写好的
正则表达式进行编译和预处理。*/
高晓伟_Steven
关注
专栏目录
Ubuntu 16.04 下安装运行 Suricata
qq_40907977的博客
04-25 1186
介绍 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstas...
Surciata源码分析之IpsNFQ模式(2)
Firedb的专栏
05-19 3582
2. 各模块功能分析   Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。   Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。   StreamTCP:对数据包进行TCP流重组。   Detect:检测数据包是否包含入侵行为。   Verdict:对检测后
suricata 源码详细讲解
化茧成蝶007
08-31 1703
main函数开始 https://my.oschina.net/openadrian/blog/184621
Suricata-7.0 源码分析之流表建立FlowWorker
最新发布
wenze123的博客
01-20 1321
Suricata-7.0 FlowerWorker 流表建立
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
suricata 3.1 源码分析9
superbfly的专栏
09-07 1934
RunModeDispatch(suri.run_mode, suri.runmode_custom_mode)初始化运行模式。首先,根据配置文件和程序中的默认值来配置运行模式(single、auto这些),而运行模式类 型(PCAP_DEV、PCAPFILE这些)也在之前已经确定了,因此运行模式已经固定下来,可以从runmodes表中获取到特定的RunMode 了,接着就调用RunMode中的Ru
suricata 3.1 源码分析6
superbfly的专栏
09-02 1826
if (suri.run_mode != RUNMODE_UNIX_SOCKET) { FlowInitConfig(FLOW_VERBOSE); 初始化Flow engine。用来表示一条TCP/UDP/ICMP/SCTP流的,程序当前所记录的所有流便组成了流表,在flow引擎中,流表为flow_hash这个全局变量,其类型为FlowBucket *,而FlowBucket
suricata 3.1 源码分析4
superbfly的专栏
08-31 2790
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小写字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
suricata源码解析
唐装鼠的主页
09-21 773
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
【Linux系统监控】:实时分析系统状态的10大命令
# 1. Linux系统监控概述 在当今快速发展的IT环境中,系统监控已成为确保服务稳定性和可用性的关键环节。Linux作为服务器市场的主导操作系统之一,其系统的健康状况直接关系到业务的连续性和效率。本章节将概述Linux...
【Python网络编程:安全传输保障】全面解析安全性分析与防护策略
# 1. Python网络编程基础概述 ## Python网络编程简介 Python作为一门广泛使用的编程语言,其网络编程能力是众多开发者关注的焦点。网络编程主要涉及客户端和服务器端的通信问题,使得不同系统间能够交换信息。...
《开源安全运维平台OSSIM最佳实践》实验环境下载
weixin_33712987的博客
07-28 1537
《开源安全运维平台OSSIM最佳实践》实验环境下载  由清华大学出版社首发、当当、京东自营店、天猫、亚马逊均有销售。                                          OSSIM开源安全交流QQ群: 179084574       经多年潜心研究开源技术,历时三年创作的《开源安全运维平台OSSIM最佳实践》一书已出版。该书用100多万字记录了,作者10多年的IT行业...
suricata 3.1 源码分析10
superbfly的专栏
09-08 2177
/* In Unix socket runmode, Flow manager is started on demand */ if (suri.run_mode != RUNMODE_UNIX_SOCKET) { /* Spawn the unix socket manager thread */ int unix_socket =
suricata 3.1 源码分析3
superbfly的专栏
08-30 2900
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 871
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 3.1 源码分析30 (packet_pool处理流程)
superbfly的专栏
10-13 3750
简介suricata中的packet_poo是专门用于存放receive线程抓到的数据包的。 receive线程初始化时在TmThreadsSlotPktAcqLoop中调用PacketPoolInit来初始化它的packet_pool,并为packet_pool划分内存空间。默认是申请1024个packet结构大小的空间,以链表的开示存储。这里的packet_pool被记为“my_pool”,也
suricata 3.1 源码分析8
superbfly的专栏
09-06 1596
CSetStartTime(&suri); 设置记录开始时间 SCDropMainThreadCaps(suri.userid, suri.groupid); 去除主线程的权限。这个是通过libcap-ng实现的,首先调用capng_clear清空所有权限,然后根据运行模式添加一些必要权限(主要是为了抓包),最后调用capng_change_id设置新的uid和gid。主线程的权限应该会被新建
入侵检测引擎之 Suricata 源码剖析
GitChat
07-13 1544
从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化,这场 Chat 则从代码角度带您剖析 Suricata。 通过本次 Chat 您将了解以下知识点: Suricata 运行模式; Suricata 线程模块; Suricata 数据流转; Suricata 抓包&amp;解包; Suricata 数据流管理引擎; S...
suricata源码分析
08-12
1. 数据包解析:Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值