suricata 3.1 源码分析24 (数据包解码模块执行)

最新推荐文章于 2024-01-25 11:53:50 发布
最新推荐文章于 2024-01-25 11:53:50 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52699737
版权 
/**
 * \brief This function passes off to link type decoders.
 *
 * DecodePcap reads packets from the PacketQueue and passes
 * them off to the proper link type decoder.
 *
 * \param t pointer to ThreadVars
 * \param p pointer to the current packet
 * \param data pointer that gets cast into PcapThreadVars for ptv
 * \param pq pointer to the current PacketQueue
 */
TmEcode DecodePcap(ThreadVars *tv, Packet *p, void *data, PacketQueue *pq, PacketQueue *postpq)
/*data为初始化时填充的DecodeThreadVars,pq为解码模块所嵌入的slot的slot_pre_pq,
postpq则为slot_post_pq(可能为NULL)。*/
{
    SCEnter();
    DecodeThreadVars *dtv = (DecodeThreadVars *)data;

    /* XXX HACK: flow timeout can call us for injected pseudo packets
     *           see bug: https://redmine.openinfosecfoundation.org/issues/1107 */
    if (p->flags & PKT_PSEUDO_STREAM_END)
        return TM_ECODE_OK;

    /* update counters */
    DecodeUpdatePacketCounters(tv, dtv, p);

    /* call the decoder */
    switch(p->datalink) {
        case LINKTYPE_LINUX_SLL:
            DecodeSll(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*libpcap使用的伪协议头,用于从"any"设备抓包或某些链路层头无法获取的情况,
详见:Linux cooked-mode capture (SLL) 。*/
            break;
        case LINKTYPE_ETHERNET:
            DecodeEthernet(tv, dtv, p,GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*以太网协议包。LINKTYPE_ETHERNET宏定义为pcap中的DLT_EN10MB
(10Mb命名是历史原因,参考下面的列表)*/
            break;
        case LINKTYPE_PPP:
            DecodePPP(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*PPP协议包。参见:RFC 1661 - The Point-to-Point Protocol (PPP)。*/
            break;
        case LINKTYPE_RAW:
            DecodeRaw(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*原始IP数据包。即直接以IPv4或IPv6头开始。LINKTYPE_RAW宏定义为pcap中的DLT_RAW。*/
            break;
        case LINKTYPE_NULL:
            DecodeNull(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
            break;
        default:
            SCLogError(SC_ERR_DATALINK_UNIMPLEMENTED, "Error: datalink type %" PRId32 " not yet supported in module DecodePcap", p->datalink);
            break;
    }

    PacketDecodeFinalize(tv, dtv, p);

    SCReturnInt(TM_ECODE_OK);
}

注:按照注释,Suricata中是想套用libpcap中的link type定义,完整的列表可参见:LINK-LAYER HEADER TYPES。

高晓伟_Steven
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
Centos 7 部署suricata流量检测
m0_55593211的博客
05-07 2044
转载自:https://zhuanlan.zhihu.com/p/64742715 对部分安装报错的地方进行了修改,建议按照原文安装,原文有ES对接 内网搭建Suricata进行流量检测 目标机器版本:CentOS Linux release 7.6.1810 Suricata版本:suricata-6.02 Luajit版本:LuaJIT-2.0.5 PF_RING版本:PF_RING-7.8.0 Hyperscan版本:hyperscan-5.4.0 Hyperscan 第3方依赖库 依赖项
suricata 开源工具学习-自定义协议开发
qq_41167620的博客
01-25 1116
suricata协议解析存在PM、PP、PE三种模式,其中PM为数据报关键特征匹配,即匹配报文字段(类似规则中的content字段),PP为端口匹配,即服务器目的端口值匹配命中即确定为协议,最后一个PE为字节流匹配,目前常规只有FTP-DATA协议,其协议会根据FTP commend计算并创建紧跟的子协议。注册协议接口:在AppLayerParserRegisterProtocolParsers接口中插入协议的注册接口,在这个文件中要加入头文件。这里遍历结构查看是否存在异常,比如请求处理中加入的事件。
基于DPDK抓包的Suricata安装部署
2301_77342543的博客
07-09 195
基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
suricata的netmap抓包模式安装
08-15 889
suricata 简介Suricata 是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata 引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(...
suricata smtp协议解析源码注释六
ljq32的专栏
09-13 928
一。解析函数ProcessMimeBody:解析data命令的body数据 这个函数比较简单,主要查询boundary分界线,然后根据查找结果调用bounddary处理函数ProcessMimeBoundary,或者调用body数据处理函数 static int ProcessMimeBody(const uint8_t *buf, uint32_t len, MimeDecParseState *state) { int ret = MIME_DEC_OK; ui.
suricata之linux编译
hezhanran的博客
10-26 2588
suricata编译
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
suricata smtp协议解析源码注释一
ljq32的专栏
09-10 1693
一。Suricata解析smtp协议整体思路 Smtp协议解析模块根据客户端与邮件服务器之间的每一个smtp交互命令,设置了多个状态即当前的smtp命令和解析阶段。 Smtp协议解析模块将smtp的交互过程视为一次事务,该事务记录了状态变化和解析阶段的过程,每次状态变化时,根据数据传输方向(客户到服务器,服务器到客户),根据当前方向对当前状态进行相应的处理。 例如:当客户端发送HELO命令后,事务的状态变为HELO,此时,服务器的操作就是处理HELO后反馈数据给客户端,客户端的操作就是解析服务器对HE
基于wireshark打造安全分析师工具--解析suricata中的分析结果
村中少年的专栏
06-04 541
基于wireshark结合suricata分析结果直接在wireshark UI上给出数据包中的攻击手段分析
ip分片重组及tcp分段重组具体实现
01-31
tcp/ip协议中ip分片重组以及tcp分段重组具体实现原理
AutoSuricata:Suricata IDS 构建脚本,用于为 Ubuntu 自动化 Suricata IDS 部署!
06-29
自动苏里卡塔 Suricata-IDS 安装脚本来自动化(或简化)Ubuntu 的部署。 现在添加了 Suricata 的 Sensu Checks! 我很清楚@da667 构建的 AutoSnort 项目,它超级好地简化了 Snort 的安装过程,并决定为 Suricata 构建自己的部署脚本,以了解更多关于脚本、自动化和部署的知识。 在早期阶段,这将相当简单,但是我想添加 AutoSnort 具有的一些功能,因此该脚本中的一些将引用这些脚本。 您可以在此处了解 AutoSnort: : 和 Suricata: ://suricata-ids.org/
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip
最新发布
04-15
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip本资源中的源码都是经过本地编译过可运行的,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心...
suricata-5.0.3源码
07-30
suricata-5.0.3源码包,亲测在 centos7下能编译通过 ,suricata是最新的入侵检测与入侵防御开源的软件,是 snort的最新替代版
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
suricata 3.1 源码分析1
superbfly的专栏
08-26 4160
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到一个结构体变量中,而不是使用零散的长串参数或一堆全局变量。 SC
suricata 3.1 源码分析5
superbfly的专栏
09-01 4084
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执行PostConfLoadedSetup,即运行那些需要在配置载入完成后就立马执行的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata源码分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata源代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析:Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其源码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata源码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,源码分析也是学习和贡献开源项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开源入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata源码进行分析有助于深入了解其工作原理和实现方式。 Suricata源码分析主要包括以下方面: 1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析,Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata源码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata源码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata源码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata源码分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值