suricata 3.1 源码分析31 (RespondReject)

最新推荐文章于 2023-06-07 17:24:14 发布
最新推荐文章于 2023-06-07 17:24:14 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52816730
版权

简介
RespondReject工作在worker线程,在FlowWorker模块之后对数据包进行处理。此处主要的作用是直接对符合过滤规则的数据包进行阻断并回复,从而使得数据包不会流入后续的操作模块。个人理解这点在IPS模式时会十分有用,可以阻断网络攻击、爬虫等。

原码分析
函数RespondRejectFunc只支持IPv4和IPv6的数据包回复,因此其中只调用了4个函数:RejectSendIPv4TCP、RejectSendIPv4ICMP、RejectSendIPv6TCP、RejectSendIPv6ICMP。
下面主要分析一下RejectSendIPv4TCP函数。

int RejectSendIPv4TCP(ThreadVars *tv, Packet *p, void *data)
{
    SCEnter();
    int r = 0;
    if (PACKET_TEST_ACTION(p, ACTION_REJECT)) {
//将数据发送回原端
        r = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_SRC,NULL,0);
        SCReturnInt(r);
    } else if (PACKET_TEST_ACTION(p, ACTION_REJECT_DST)) {
//将数据发送到目地端
        r = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_DST,NULL,0);
        SCReturnInt(r);
    } else if(PACKET_TEST_ACTION(p, ACTION_REJECT_BOTH)) {
//同时对原端和目地端进行回复
        int ret;
        ret = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_SRC,NULL,0);
        if (RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_DST,NULL,0) == 0) {
            SCReturnInt(0);
        } else {
            SCReturnInt(ret);
        }
    }
    SCReturnInt(0);
}

注:这里有一个我开始不是很明白。对原端来的数据包进行回复很好理解,对阻断的包做一个响应,仅仅是通知一下对方“我收到你的包了”。可对目的端发送数据包就有点不好理解了,后来还是同事提醒我的,如果在我们阻断之前原端和目地端已经建立了连接,那么单方面阻断原端数据会使得目地端长时间处于等待数据包的状态,占用系统资源,这时我们给上地端发送数据,告诉目地端“现在连接结束,可以释放资源了”,这样就能够减少系统的资源占用。
后续3处分支都调用RejectSendLibnet11L3IPv4TCP函数,这个函数就是通过libnet进行组包,然后发出,当然其中会对需要发关到的地址进行编辑。

高晓伟_Steven
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
suricata码解析
唐装鼠的主页
09-21 453
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
suricata 程序架构
m0_38091107的博客
08-09 3705
suricata程序架构运行模式packet流水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
suricata 各个线程干的事情 -- FlowRecyclerThread
xuwaiwai的博客
01-20 381
suricata 各个线程干的事情 -- FlowRecyclerThread,管理超时流的线程
suricata6 workers 流程
唐装鼠的主页
06-07 668
suricata6 数据包处理流程
tcp段重组--suricata实现
网络安全研究
11-08 6996
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -> PostConfLoadedSetup -> PreRunInit -> StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -> StreamTcp中。 TCP 状态机&a
一款攻击检测工具suricata
ranuy阮的博客
03-06 2210
0x01 suricata介绍 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)开发。 https://www.osgeo.cn/suricata/what-is-suricata.html 0x02 suricata语法 规则语法由规则头部和规则选项组成 alert tcp $EXTERNAL_NET ...
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
suricata-5.0.3码包
07-30
Suricata是一款强大的开入侵检测系统(IDS)和入侵防御系统(IPS),...综上所述,Suricata 5.0.3码包为用户提供了一种强大且灵活的网络安全工具,它能够在CentOS 7环境下稳定运行,为企业级网络安全提供可靠保障。
Suricata + Wireshark离线流量日志分析
10-06
3. **日志分析:** 分析Suricata生成的日志,找出可能的攻击模式或网络问题。 4. **可视化审查:** 在Wireshark中打开原始.pcap文件,通过过滤和搜索功能,针对日志中的关键事件进行复查。 5. **深入调查:** 如果...
基于Suricata简单的网络入侵检测系统demo码+项目说明(毕业设计).zip
最新发布
01-24
【资说明】 1、该资包括项目的全部码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和...基于Suricata简单的网络入侵检测系统demo码+项目说明(毕业设计).zip
Suricata用户手册 V4.0.0
08-28
欢迎大家下载阅读,提出宝贵意见:resehist@gmail.com
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
IDS suricata分析(worker模式工作线程初始化及处理流程)
m0_50638175的博客
11-27 1274
这里写自定义目录标题开IDS suricata分析(worker模式工作线程初始化及处理流程)初始化及处理流程接口调用 开IDS suricata分析(worker模式工作线程初始化及处理流程) 本文主要分析suricata在worker工作模式下,工作线程的初始化及工作线程的处理流程。 初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
IDS suricata分析(协议解析添加流程)
m0_50638175的博客
09-28 6536
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata 3.1 分析30 (packet_pool处理流程)
superbfly的专栏
10-13 3682
简介suricata中的packet_poo是专门用于存放receive线程抓到的数据包的。 receive线程初始化时在TmThreadsSlotPktAcqLoop中调用PacketPoolInit来初始化它的packet_pool,并为packet_pool划分内存空间。默认是申请1024个packet结构大小的空间,以链表的开示存储。这里的packet_pool被记为“my_pool”,也
suricata 3.2 分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3409
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
TCP重组基本原理
qinggebuyao的专栏
06-28 5059
TCP流的存储使用二位链表的方式,横向的为同一个TCP会话,每一个节点为一个IP包;纵向的是一个接一个的TCP流,用于保存多个TCP会话。 1.每到来一个tcp数据包(pkt),先将该数据包的ip地址、目的ip地址、端口号、目的端口号取出来在哈希表中查找有没有与它相匹配的链表(fp)存在,如果有,就把pkt数据包放入与它有相同socket对的fp链中,放入链表的时,我先查找pkt的顺序号
网络入侵检测系统之Suricata(二)
诗酒趁年华
01-07 1548
Running mode Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。 Suricata有多种运行模式,这些模式与抓包驱动和IDS/IPS选择相关联。抓包驱动如:pcap, pcap file,nfqueue,ipfw,dpdk或者一个特有的抓包驱动等。Suricata在启动时只能选择某个运行模式。如-i选项表示pcap, -r表示pcapfile,-q表示nfqueue等。每一种运行模式都会初始化一些threads,queues等。模
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
suricata分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开的入侵检测和预防系统(IDS/IPS),其分析是对其实现原理和功能的深入理解和研究。 Suricata分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析:Suricata分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,分析也是学习和贡献开项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata码进行分析有助于深入了解其工作原理和实现方式。 Suricata分析主要包括以下方面: 1. 系统架构和模块组成:Suricata码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析,Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata码的分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值