suricata在netmap模式用autofp方式抓包有内存泄漏的相关信息

最新推荐文章于 2024-09-12 15:17:02 发布
最新推荐文章于 2024-09-12 15:17:02 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: suricata suricata源码分析 文章标签: 内存泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52329474
版权

说个小的发现。
suricata在运行netmap模式进行抓包的时候默认使用的是”workers”的工作方式。
由于其它的都是“autofp”的方式,所以就带着疑问上google上查了一下。没想到还真查到点东西。
https://redmine.openinfosecfoundation.org/issues/1717
这是论坛里找到的,大体意思是说在suricata 3的版本使用netmap模式并通过autofp的方式抓包会导致内存泄漏。
这里已给出的回复是,autofp不支持zero-copy,还有一些导致内存泄漏的相关猜想。
主要结论有两点:

  1. 使用worker方式抓包或使用autofp方式但不用zero-copy(个人认为就是不用带驱动的netmap)。
  2. 更改ring_size,这个暂时也用不上,所以没有做实验。直接引用原文:I have to say that in my scenario I
    used rings size of 4096 - the maximum allowed for ixgbe driver. To
    solve the issue with netmap memory allocation failure I’ve used
    ring_size=66000 parameter on netmap module loading.
    ring_count=thread_count in my scenario
网络安全系列-四十: suricata 的运行模型Running mode讲解
penriver的博客
11-20 972
Sruciata由线程、线程模块、队列组成。 - 数据包在线程间传递通过队列实现,线程由多个线程模块组成,每个线程模块实现一种功能 - 一个数据包可以由多个线程处理,数据包将通过队列传递到下一个线程。包每次由一个线程处理,但是引擎可以同时处理多个包 - 一个线程可以有一个或多个线程模块,如果包含多个模块,那么一次只能激活一个模块工作。 线程、模块和队列的排列方式称为运行模式 每一种运行模式都会初始化一些threads,queues等。模式的具体任务是由线程模块来完成
suricata 程序架构
m0_38091107的博客
08-09 3811
suricata程序架构运行模式packet流水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
suricata+bwapp靶场sqlmap实测
我的博客
06-10 859
suricata+bwapp靶场sqlmap实测 文章目录suricata+bwapp靶场sqlmap实测0x01 suricata的配置0x02 启动suricata并攻击靶场1. 启动suricata2. 观察3. 使用sqlmap进行攻击 为了演示suricata的使用效果,搭建了一个子网,里面分别有suricata所在的服务器和一个靶场。 suricata服务器IP:172.16.6.135 bwapp靶场IP:172.16.6.133 攻击机:172.16.6.1 0x01 suricata的配置
suricata抓包方式之一 AF_PACKET
weixin_34150224的博客
11-07 977
1、前言     linux提供了原始套接字RAW_SOCKET,可以抓取数据链路层的报文。这样可以对报文进行深入分析。今天介绍一下AF_PACKET的用法,分为两种方式。第一种方法是通过套接字,打开指定的网卡,然后使用recvmsg读取,实际过程需要需要将报文从内核区拷贝到用户区。第二种方法是使用packet_mmap,使用共享内存方式,在内核空间中分配一块内核缓冲区,然后用户空间程序调用mm...
IPS——suricata
最新发布
weixin_58666006的博客
09-12 967
利用iptables搭配suricata形成一个IPS(入侵防御系统),包括本机IPS与远程IPS
suricata的netmap抓包模式安装
08-15 980
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(...
内存泄露
qq_36308972的博客
04-28 140
前言 程序的两大内存结构:堆和栈,两个在使用的时候都要注意规范,否则就容易在“小细节”上导致“大问题”。 栈–>注意栈溢出,会导致崩溃 堆–>注意内存泄漏,会导致系统卡慢,甚至是崩溃 内存泄漏 内存泄漏(Memory Leak)是指程序中己动态分配的堆内存由于某种原因程序未释放或无法释放,造成系统内存的浪费,导致程序运行速度减慢甚至系统崩溃等严重后果 内存泄漏缺陷具有隐蔽性、积累性...
rpm安装telnet_suricata的netmap抓包模式的安装说明
weixin_39688856的博客
11-30 231
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线 pcap 处理。Suricata 使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的 Lua 脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如 YAML 和 JSON),使用现有的 S...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,...首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
suricata-5.0.3源码包
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),它在网络安全领域中扮演着重要的角色。此源码包版本为5.0.3,这意味着它包含了该软件开发过程中的最新特性和改进。这个源码包被确认可以在...
Suricata】04-配置Suricata 7.0.3 基于DPDK模式运行
Simo2024的博客
05-13 1934
本文介绍了Suricata基于DPDK包捕获模式的安装,运行,难点主要在DPDK驱动的安装。
netmap 使用小例子
liyu123__的博客
07-06 3253
最近哥老倌在初步研究netmap这个工具。心得不多,先展示一个小程序吧,看一看见里面调用逻辑的顺序,经供参考使用。#include <stdio.h> #include <poll.h> #define NETMAP_WITH_LIBS #include <net/netmap_user.h> unsigned long pps = 0; static v...
suricata在netmap模式无法抓包的原因
superbfly的专栏
03-22 2280
问题描述suricata在很早就支持了netmap,但最近在用的时候却发现开启netmap抓包后总是获取不到数据包。 使用netmap自带的pke-gen工具测试,结果证明不是netmap的问题。 只能去suricata源码里查原因了。问题定位问题出在source-netmap.c文件的NetmapOpen函数中,具体位置如下: if (ioctl(pring->fd, NIOCR
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1736
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
Suricata高性能配置
u011311291的博客
03-05 6695
一.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 629
2019独角兽企业重金招聘Python工程师标准>>> ...
【包】dpdk、ettercap、netmap、netsniff-ng
Li_Jiaqian的博客
10-31 3150
(1)测试openstack架构下,相同租户不同子网之间的通信:数据包需要经过路由器,br-int作为二层网桥,没有学习功能。 (2)测试使用dpdk的抓包工具dpdk-pdump,分析dpdk的优化方式以及cpu占用率高的原因。 (3)安装使用网络抓包工具ettercap。 (4)配置使用netmap网络架构,与tcpdmup对比抓包效率。 (5)配置使用netsniff-ng工具,与t...
Netmap分析(一)
superbfly的专栏
04-23 8856
工作原理 Netmap是基于零拷贝思想的高速网络I/O架构,它能够在千兆或万兆网卡上达到网卡的线速收发包速率。并且能够有效地节省cpu等计算机资源。 零拷贝(zero-copy)是指主机、路由器等设备与网卡交互时,CPU不需要将数据从和个内存区域拷贝到另一个内存区域。零拷贝通过减少数据拷贝或共享总线操作次数,消除通信数据的不必要的拷贝过程,能够有效地提高通信效率、节省存储空间和处理时间。因
Suricata命令详解:标准运行模式与使用技巧
`running-mode` 显示运行模式Suricata支持workers、autofp和simple等模式,这些模式决定了Suricata如何处理和分析网络数据包。 `capture-mode` 用于查看Suricata所使用的捕获系统,这对于理解数据包处理流程和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值