suricata 3.1 源码分析3

最新推荐文章于 2024-05-27 18:47:46 发布
最新推荐文章于 2024-05-27 18:47:46 发布
阅读量2.8k 收藏 3
点赞数 3
分类专栏: suricata suricata源码分析 文章标签: 源码 suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52366427
版权

原文链接:http://www.9mblog.com/68.html
继续main函数下面的内容。

/* By default use IDS mode, but if nfq or ipfw
* are specified, IPS mode will overwrite this */

EngineModeSetIDS();

初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区别。IPS会先将数据收下,进行分析后再传给后续设备或程序进行处理。而IDS模式是类似于旁路或将数据copy一份这样处理,它不会阻断数据传输。这只是我的理解,如果有不对的地方欢迎大家指出。

/* Initialize the configuration module. */

ConfInit();

初始化配置模块

void ConfInit(void)
{
    if (root != NULL) {
        SCLogDebug("already initialized");
        return;
    }
    /*root是ConfNode类型的全局指针,将指向yaml配置文件的根节点*/
    root = ConfNodeNew();

if (root == NULL) {
    SCLogError(SC_ERR_MEM_ALLOC,
        "ERROR: Failed to allocate memory for root configuration node, "
        "aborting.");
    exit(EXIT_FAILURE);
}
SCLogDebug("configuration module initialized");
}

if (ParseCommandLine(argc, argv, &suri) != TM_ECODE_OK) {
            exit(EXIT_FAILURE);
}

ConfNodeNew()如下:

ConfNode *ConfNodeNew(void)
{
   ConfNode *new;

    new = SCCalloc(1, sizeof(*new));        //申请ConfNode大小的内存
    if (unlikely(new == NULL)) {
        return NULL;
    }
    TAILQ_INIT(&new->head);     //将new的head置为NULL

    return new;
}

解析命令行参数。为suri结构的成员赋值。其中,与包捕获相关的选项(如“-i”)都会调用LiveRegisterDevice,以注册一个数据包捕获设备接口(如eth0)。全局的所有已注册的设备接口存储在变量live_devices中,类型为LiveDevice。注意,用多设备同时捕获数据包这个特性在Suricata中目前还只是实验性的。“-v”选项可多次使用,每个v都能将当前日志等级提升一级。

 if (FinalizeRunMode(&suri, argv) != TM_ECODE_OK) {
            exit(EXIT_FAILURE);
 }

根据运行模式完成相应设置,其中PCAP_FILE、ERF_FILE、ENGINE_ANALYSIS,不会通过网络抓包,所以将suri->offline置1。设置全局的run_mode变量。另外还对 daemon模式做了记log的相关操作。

switch (StartInternalRunMode(&suri, argc, argv)) {
      case TM_ECODE_DONE:
            exit(EXIT_SUCCESS);
      case TM_ECODE_FAILED:
            exit(EXIT_FAILURE);
}

若运行模式为内部模式,则进入该模式执行,完毕后退出程序。

高晓伟_Steven
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
suricata 3.1 源码分析1
superbfly的专栏
08-26 4234
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
Suricata源码解析-开启从小白到小白必经之路
最新发布
qq_54078539的博客
05-27 221
Suricata源码分析
suricata 3.1 源码分析5
superbfly的专栏
09-01 4142
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
Suricata6一级函数
sinat_41915699的博客
06-30 424
本文主要描述了int SuricataMain(int argc, char **argv)中的主要函数及其作用,来自文件suricata.c。 SCInstanceInit(&suricata, argv[0]) suricata实例初始化,其中结构体变量用来容纳配置文件的参数和命令行参数。 InitGlobal() 初始化suricata_context的函数指针,其中rs_init(&suricata_context)调用了rust函数rs_intit,本人对rust没有研究,TOD
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4662
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata-5.0.3源码
07-30
Suricata是一款强大的开源入侵检测系统(IDS)和入侵防御系统(IPS),...综上所述,Suricata 5.0.3源码包为用户提供了一种强大且灵活的网络安全工具,它能够在CentOS 7环境下稳定运行,为企业级网络安全提供可靠保障。
基于Suricata简单的网络入侵检测系统demo源码+项目说明(毕业设计).zip
01-24
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和...基于Suricata简单的网络入侵检测系统demo源码+项目说明(毕业设计).zip
Suricata + Wireshark离线流量日志分析
10-06
3. **日志分析:** 分析Suricata生成的日志,找出可能的攻击模式或网络问题。 4. **可视化审查:** 在Wireshark中打开原始.pcap文件,通过过滤和搜索功能,针对日志中的关键事件进行复查。 5. **深入调查:** 如果...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata源码解析
唐装鼠的主页
09-21 524
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
Suricata-7.0 源码分析之流表建立FlowWorker
wenze123的博客
01-20 1128
Suricata-7.0 FlowerWorker 流表建立
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 774
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4465
suricata 各个线程的作用 -- 主线程
suricata 源码分析之行锁
guoguangwu的专栏
03-18 1919
此博客讨论的是在多线程下链式哈希表的行锁的使用,主要是针对对哈希表的表锁,二者各有优缺点。 表锁哈希表,只有一把锁,内存少,实现简单,但是在并发访问时,效率极其低下; 行级锁哈希表则每一行都有一把锁,内存开销大,实现复杂,但是在大并发,高效率的后台服务程序中使用非常广泛。suricata就声称自己可以处理万兆网络,这和多线程架构和更细粒度的锁的机制是分不开的。 ...
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1837
在前面我
Surciata源码分析之IpsNFQ模式(1)
Firedb的专栏
05-18 6897
最近看了一下suricata-1.2.1的源代码,加之之前在网上没有搜到关于suricata分析资料,所以就把看源码时的一些笔记整理了一下,发到网上,供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客,不足之处还望看到此文章的网友见谅! 先还是进行简要的介绍一下,Suricata 是一个网络入侵检测和阻止引擎,由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6655
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata源码分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata源代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其源码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata源码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,源码分析也是学习和贡献开源项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开源入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata源码进行分析有助于深入了解其工作原理和实现方式。 Suricata源码分析主要包括以下方面: 1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata源码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata源码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata源码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata源码分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值