suricata 3.1 源码分析24 (数据包解码模块执行)

最新推荐文章于 2023-09-21 08:59:57 发布
最新推荐文章于 2023-09-21 08:59:57 发布
阅读量1.9k 收藏 2
点赞数 2
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52699737
版权 
/**
 * \brief This function passes off to link type decoders.
 *
 * DecodePcap reads packets from the PacketQueue and passes
 * them off to the proper link type decoder.
 *
 * \param t pointer to ThreadVars
 * \param p pointer to the current packet
 * \param data pointer that gets cast into PcapThreadVars for ptv
 * \param pq pointer to the current PacketQueue
 */
TmEcode DecodePcap(ThreadVars *tv, Packet *p, void *data, PacketQueue *pq, PacketQueue *postpq)
/*data为初始化时填充的DecodeThreadVars,pq为解码模块所嵌入的slot的slot_pre_pq,
postpq则为slot_post_pq(可能为NULL)。*/
{
    SCEnter();
    DecodeThreadVars *dtv = (DecodeThreadVars *)data;

    /* XXX HACK: flow timeout can call us for injected pseudo packets
     *           see bug: https://redmine.openinfosecfoundation.org/issues/1107 */
    if (p->flags & PKT_PSEUDO_STREAM_END)
        return TM_ECODE_OK;

    /* update counters */
    DecodeUpdatePacketCounters(tv, dtv, p);

    /* call the decoder */
    switch(p->datalink) {
        case LINKTYPE_LINUX_SLL:
            DecodeSll(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*libpcap使用的伪协议头,用于从"any"设备抓包或某些链路层头无法获取的情况,
详见:Linux cooked-mode capture (SLL) 。*/
            break;
        case LINKTYPE_ETHERNET:
            DecodeEthernet(tv, dtv, p,GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*以太网协议包。LINKTYPE_ETHERNET宏定义为pcap中的DLT_EN10MB
(10Mb命名是历史原因,参考下面的列表)*/
            break;
        case LINKTYPE_PPP:
            DecodePPP(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*PPP协议包。参见:RFC 1661 - The Point-to-Point Protocol (PPP)。*/
            break;
        case LINKTYPE_RAW:
            DecodeRaw(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
/*原始IP数据包。即直接以IPv4或IPv6头开始。LINKTYPE_RAW宏定义为pcap中的DLT_RAW。*/
            break;
        case LINKTYPE_NULL:
            DecodeNull(tv, dtv, p, GET_PKT_DATA(p), GET_PKT_LEN(p), pq);
            break;
        default:
            SCLogError(SC_ERR_DATALINK_UNIMPLEMENTED, "Error: datalink type %" PRId32 " not yet supported in module DecodePcap", p->datalink);
            break;
    }

    PacketDecodeFinalize(tv, dtv, p);

    SCReturnInt(TM_ECODE_OK);
}

注:按照注释,Suricata中是想套用libpcap中的link type定义,完整的列表可参见:LINK-LAYER HEADER TYPES。

高晓伟_Steven
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Suricata之源代码(一)
qianligaoshan的专栏
04-09 2996
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
Suricata之源代码(三)
qianligaoshan的专栏
04-13 2803
这次我
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1837
在前面我
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 774
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 源码详细讲解
化茧成蝶007
08-31 1655
从main函数开始 https://my.oschina.net/openadrian/blog/184621
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
suricata-5.0.3源码
07-30
Suricata利用libpcap库来捕获和解析网络数据包,从而分析其内容。它可以检测到多种协议,包括TCP、UDP、ICMP等,以及HTTP、DNS、SSL等应用层协议。 7. **事件生成和响应**: 当Suricata检测到潜在威胁时,它会...
Suricata + Wireshark离线流量日志分析
10-06
在离线流量分析场景下,Wireshark可以打开由Suricata或其他数据包捕获工具生成的.pcap文件,进一步进行深度分析。用户可以通过过滤器快速定位感兴趣的数据包,查看特定主机或服务的通信,分析异常行为,或者检查特定...
ProbeManager_Suricata:适用于探针管理器的Suricata NIDS模块
05-12
Suricata探针经理 推介会 模块 兼容版本 Suricata版本4.0.4发行 特征 在远程服务器上安装和更新Suricata NIDS。 配置设置并测试配置。 添加,删除,更新脚本和签名。 测试签名的合规性。 测试签名是否通过Pcap...
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip
最新发布
04-15
毕业设计基于Suricata简单的网络入侵检测系统源码+使用说明.zip本资源中的源码都是经过本地编译过可运行的,资源项目的难度比较适中,内容都是经过助教老师审定过的能够满足学习、使用需求,如果有需要的话可以放心...
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
DPDK_Suricata_4.1.rar
08-30
使用DPDK 加速suricata-4.1.4源码。 DPDK版本 dpdk-stable-18.11。 Suricata版本 suricata-4.1.4 。 编译:./configure --enable-dpdk
suricata源码解析
唐装鼠的主页
09-21 524
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
suricata 3.1 源码分析23 (数据包解码模块注册及初始化)
superbfly的专栏
09-28 1897
简介 Suricata解码模块数据包获取模块是一一对应的,例如DecodePcap对应ReceivePcap,DecodeAFP对应ReceiveAFP。 然而,我们知道数据包格式都是协议规定的,因此核心的数据包解码流程一定会是固定的。例如,对于常规的以太网包IPV4包TCP包,无非是DecodeEthernet->DecodeIPV4->DecodeTCP->… 那么,这里为什么需要设置
suricata源码之Storage
村中少年的专栏
06-29 884
简述suricata中的storage含义
Suricata源码阅读笔记:数据包解码
weixin_34352005的博客
12-20 1144
2019独角兽企业重金招聘Python工程师标准>>> ...
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4662
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
开源IDS suricata 源码分析(零、开篇)
m0_50638175的博客
09-12 1154
背景:记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 2903
流管理包括流表的初始化,流的新建、查找、更新、检查老化、流的回收、空闲流数量的动态维护
使用Suricata进行数据包分析:Sca100t中文指南
本文档主要介绍了如何在Ubuntu系统上使用Suricata进行数据包分析Suricata是一款强大的网络入侵检测和预防系统(IDS/IPS),它能对网络流量进行实时监控,识别潜在的攻击和异常行为。 首先,数据包分析在网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值