suricata 3.1 源码分析32 (FlowWorker处理流程1)

最新推荐文章于 2024-01-20 16:14:41 发布
最新推荐文章于 2024-01-20 16:14:41 发布
阅读量3.2k 收藏 5
点赞数 1
分类专栏: suricata suricata源码分析 文章标签: 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/superbfly/article/details/52851093
版权 
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused)
{
    FlowWorkerThreadData *fw = data;
/*FlowWorkerThreadInit中初始化,包含大量stats统计指标,
decode指标在DecodeThreadVars中,
tcp指标在StreamTcpThread中*/

    void *detect_thread = SC_ATOMIC_GET(fw->detect_thread);
//获取detect线程(3.1中的worker线程)的数据

    SCLogDebug("packet %"PRIu64, p->pcap_cnt);

    /* update time */
    if (!(PKT_IS_PSEUDOPKT(p))) {
        TimeSetByThread(tv->id, &p->ts);
    }

    /* handle Flow */
    if (p->flags & PKT_WANTS_FLOW) {
/*如果p->flags被置了PKT_WANTS_FLOW(tcp的包一定会被置PKT_WANTS_FLOW)
说明这是一条流中的一个包,需要更新其对应的流信息*/
        FLOWWORKER_PROFILING_START(p, PROFILE_FLOWWORKER_FLOW);

        FlowHandlePacket(tv, fw->dtv, p);
        if (likely(p->flow != NULL)) {
            DEBUG_ASSERT_FLOW_LOCKED(p->flow);
            FlowUpdate(p);
        }
        /* Flow is now LOCKED */

        FLOWWORKER_PROFILING_END(p, PROFILE_FLOWWORKER_FLOW);

    /* if PKT_WANTS_FLOW is not set, but PKT_HAS_FLOW is, then this is a
     * pseudo packet created by the flow manager. */
    } else if (p->flags & PKT_HAS_FLOW) {
        FLOWLOCK_WRLOCK(p->flow);
    }
/*此时流是被锁住的*/

    SCLogDebug("packet %"PRIu64" has flow? %s", p->pcap_cnt, p->flow ? "yes" : "no");

    /* handle TCP and app layer */
    if (PKT_IS_TCP(p)) {
        SCLogDebug("packet %"PRIu64" is TCP", p->pcap_cnt);
        DEBUG_ASSERT_FLOW_LOCKED(p->flow);

        FLOWWORKER_PROFILING_START(p, PROFILE_FLOWWORKER_STREAM);
        StreamTcp(tv, p, fw->stream_thread, &fw->pq, NULL);
//主要的流操作都在这里,后面会详细分析
        FLOWWORKER_PROFILING_END(p, PROFILE_FLOWWORKER_STREAM);

        /* Packets here can safely access p->flow as it's locked */
        SCLogDebug("packet %"PRIu64": extra packets %u", p->pcap_cnt, fw->pq.len);
        Packet *x;
        while ((x = PacketDequeue(&fw->pq))) {
            SCLogDebug("packet %"PRIu64" extra packet %p", p->pcap_cnt, x);

            // TODO do we need to call StreamTcp on these pseudo packets or not?
            //StreamTcp(tv, x, fw->stream_thread, &fw->pq, NULL);
            if (detect_thread != NULL) {
                FLOWWORKER_PROFILING_START(x, PROFILE_FLOWWORKER_DETECT);
                Detect(tv, x, detect_thread, NULL, NULL);
//detect操作太过复杂,至今没有理出头绪,先放在这里,后续再补全
                FLOWWORKER_PROFILING_END(x, PROFILE_FLOWWORKER_DETECT);
            }
#if 0
            //  Outputs
#endif
            /* put these packets in the preq queue so that they are
             * by the other thread modules before packet 'p'. */
            PacketEnqueue(preq, x);
        }

    /* handle the app layer part of the UDP packet payload */
    } else if (p->flow && p->proto == IPPROTO_UDP) {
        FLOWWORKER_PROFILING_START(p, PROFILE_FLOWWORKER_APPLAYERUDP);
        AppLayerHandleUdp(tv, fw->stream_thread->ra_ctx->app_tctx, p, p->flow);
        FLOWWORKER_PROFILING_END(p, PROFILE_FLOWWORKER_APPLAYERUDP);
    }

    /* handle Detect */
    DEBUG_ASSERT_FLOW_LOCKED(p->flow);
    SCLogDebug("packet %"PRIu64" calling Detect", p->pcap_cnt);

    if (detect_thread != NULL) {
        FLOWWORKER_PROFILING_START(p, PROFILE_FLOWWORKER_DETECT);
        Detect(tv, p, detect_thread, NULL, NULL);
//同上,暂不分析,留待以后补全
        FLOWWORKER_PROFILING_END(p, PROFILE_FLOWWORKER_DETECT);
    }
#if 0
    // Outputs

    // StreamTcpPruneSession (from TmqhOutputPacketpool)
#endif

    if (p->flow) {
        DEBUG_ASSERT_FLOW_LOCKED(p->flow);
        FLOWLOCK_UNLOCK(p->flow);
//解锁对应的流
    }

    return TM_ECODE_OK;
}
高晓伟_Steven
关注
专栏目录
suricataflow流会话管理分析1
每天分享一个编程小知识
06-05 663
1)就是当流表内存不够用时,会有一个紧急状态机制FLOW_EMERGENCY,这个时候不同协议以及不同流状态的老化时间会大大的缩短,加速流表老化,以腾出更多的内存空间为新流所用,例如紧急状态下TCP流的初建阶段的老化时长默认值为FLOW_IPPROTO_TCP_EMERG_NEW_TIMEOUT 10秒,而对于TCP握手完成之后的流老化时长默认为FLOW_IPPROTO_TCP_EMERG_EST_TIMEOUT 100秒。创建流表时,先优先从这些节点上获取flow。喜欢文章内容的朋友,加个关注呗~~
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 824
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
Suricata-7.0 源码分析之流表建立FlowWorker
最新发布
wenze123的博客
01-20 1216
Suricata-7.0 FlowerWorker 流表建立
suricata 3.1 源码分析34 (FlowWorker处理流程3 - 流重用)
superbfly的专栏
12-30 1962
上一章提到了一个流重用的概念,这里主要说一下。根据code,所谓流重用仅仅重用了流的thread_id。其他内容都是新建流得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的流可以被重用。//这就是判断包所属的流是否能重用的函数 int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *t
suricata 3.1 源码分析33 (FlowWorker处理流程2 - FlowHandlePacket)
superbfly的专栏
12-27 2481
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricata工作流程简介
weixin_30390075的博客
03-01 816
1.suricata 是一个高性能的IDS(入侵检测系统),IPS,网络安全监控引擎。该项目是一个不受益的开源项目。 2.suricata 运行模式 从上图我们可以看出suricata核心有3个模块 1.解码线程:解码线程包括。数据包的分片重组。UDP TCP 等等头部解析 2.detect线程:TCP会话重组。木马检测,协议解析,文件存储,数据包存储等等模块。 其实...
suricata 3.1 源码分析35 (FlowWorker处理流程4 - 流重用函数)
superbfly的专栏
12-30 1523
static Flow *TcpReuseReplace(ThreadVars *tv, DecodeThreadVars *dtv, FlowBucket *fb, Flow *old_f, const uint32_t hash, const Packet *p) { /*
suricata初始化流程
City_of_skey的博客
02-14 624
suricata初始化流程 1、简介 suricata是一款高性能的IDS、IPS和网络安全监测引擎。采用多线程模式,利用多核 ...
开源IDS suricata源码分析(协议解析添加流程
m0_50638175的博客
09-28 6797
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 2652
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进行规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
开源IDS suricata源码分析worker模式工作线程初始化及处理流程
m0_50638175的博客
11-27 1305
这里写自定义目录标题开源IDS suricata源码分析worker模式工作线程初始化及处理流程)初始化及处理流程接口调用 开源IDS suricata源码分析worker模式工作线程初始化及处理流程) 本文主要分析suricataworker工作模式下,工作线程的初始化及工作线程的处理流程。 初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
suricata NFQ模式流程
sinat_41915699的博客
09-26 442
suricata 流管理
10-31 622
suricata 流管理
suricata 各个线程干的事情 -- WorkerThread
xuwaiwai的博客
01-14 1203
suricata 工作线程的运行流程
suricata -- 流管理系统
xuwaiwai的博客
02-16 6149
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
Suricata6.0流表管理源码注释三:流的建立01
ljq32的专栏
01-08 2891
流表建立
suricata 各个线程干的事情 -- FlowManagerThread
xuwaiwai的博客
01-14 694
suricata 各个线程干的事情 -- FlowManagerThread
MTK开机LOGO图片的显示原理
Toc_SunWinner的博客
01-12 4162
 MTK开机LOGO图片的显示原理 一、图片的定义 1 1.1、update脚本 1 1.2、rules.mk脚本 2 1.3、图片的宏定义cust_display.h(索引序列号) 3 二、LOGO图片显示的逻辑代码实现 3 2.1、platform.c 3 2.2、mtk_logo.h 4 2.3、mt_logo.c 4 总结: 5     以下
suricata源码分析
08-12
### 回答1: 我不是很了解Suricata代码分析,但我可以给你一些建议。你可以通过阅读Suricata官方文档,以及搜索博客和技术文章来了解Suricata源代码的相关内容。此外,你还可以加入相关的讨论组,与其他Suricata开发人员一起分享和交流经验。 ### 回答2: Suricata是一种自由开源的入侵检测和预防系统(IDS/IPS),其源码分析是对其实现原理和功能的深入理解和研究。 Suricata源码分析包括对其整体架构的研究,了解其模块和组件之间的关系,以及其各个模块的实现细节。其中,主要包括以下几个方面的内容: 1. 数据包解析:Suricata源码分析需要对其数据包解析模块进行深入研究,学习其对不同协议的解析方法和规则,了解具体的解析流程和实现细节。 2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码进行分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执行等过程。 3. 异步处理Suricata使用异步处理机制来提高性能,对其源码进行分析需要深入研究其异步处理框架和相关模块,学习其实现方式和优化技巧。 4. 日志和报告:Suricata生成的日志和报告对于事件追踪和安全分析非常重要,对其源码进行分析需要了解其日志和报告模块的实现细节,包括日志格式、输出方式和性能优化等。 通过对Suricata源码的深入分析,可以进一步了解其内部机制和工作原理,掌握其使用方法和扩展开发的技巧,以提高系统的安全性和性能。同时,源码分析也是学习和贡献开源项目的重要途径,可以为项目的改进和发展做出积极的贡献。 ### 回答3: Suricata是一种高性能的开源入侵检测系统(IDS),具有实时流量分析和威胁检测能力。对Suricata源码进行分析有助于深入了解其工作原理和实现方式。 Suricata源码分析主要包括以下方面: 1. 系统架构和模块组成:Suricata源码采用模块化设计,由多个核心模块组成,如引擎模块、解析器模块、规则引擎模块等,这些模块协同工作实现了对流量的检测和分析。 2. 流量解析过程:Suricata源码中包含用于解析不同网络协议的代码,如TCP、UDP、HTTP等。通过对网络流量的深入解析,Suricata可以获取各个协议层的信息,以供后续的威胁检测和分析。 3. 规则引擎和特征匹配:Suricata源码实现了一套规则引擎,用于匹配流量中的特征,通过对已定义的规则进行匹配,Suricata可以识别出潜在的威胁。该规则引擎基于高效的匹配算法,如AC自动机等。 4. 威胁检测和日志记录:Suricata源码中包含了多种威胁检测算法和技术,如基于规则的检测、异步多线程处理等。通过对流量进行检测和分析Suricata可以及时发现各种网络攻击和异常行为,并记录相关日志供后续分析。 5. 性能优化和扩展机制:Suricata源码中注重性能优化和扩展性,采用了多种技术手段,如多线程处理、流量解析的优化等,以提高系统的吞吐量和并发处理能力。此外,Suricata还提供了插件机制,可以方便地扩展其功能和特性。 通过对Suricata源码分析,可以更好地了解其工作原理和实现方式,掌握其使用和开发技巧。这对于开发人员和网络安全专家来说都非常重要,可以帮助他们深入理解和应用Suricata这一强大的网络安全工具。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值