libNids TCP 分析

最新推荐文章于 2018-03-16 18:33:06 发布

沉浮之夜

最新推荐文章于 2018-03-16 18:33:06 发布

阅读量1.4k

点赞数 1

分类专栏： libnids tcp 文章标签： libnids tcp 内存

本文链接：https://blog.csdn.net/thundon/article/details/46356037

版权

1. 使用场景

在一大流量网络中心旁路抓包，不能完全排除乱序或丢包的可能

2. Review代码

2.1 窗口检验部分代码

  if (
    ! (  !datalen && ntohl(this_tcphdr->th_seq) == rcv->ack_seq  )
    && /* zero window handle */
    ( !before(ntohl(this_tcphdr->th_seq), rcv->ack_seq + rcv->window*rcv->wscale) ||
          before(ntohl(this_tcphdr->th_seq) + datalen, rcv->ack_seq)  
        )
      ) {
      return;
  }

上面的这串代码有很大问题，如果TCP正常交互可能会没太大的问题，但一旦有异常就会造成重组后的流不完整，甚至无法重组。

2.2 四次挥手部分代码

  if ((this_tcphdr->th_flags & TH_ACK)) {
    handle_ack(snd, ntohl(this_tcphdr->th_ack));

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

沉浮之夜

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
libNids TCP 分析

libNids TCP 的一些问题分析，主要关注TCP流的释放和内存的增长
复制链接

扫一扫

专栏目录

libnids中TCP/IP栈实现细节分析（上）——TCP会话重组

网络审计

06-15

1524

libnids是网络安全方面的一个库，可以用来检测网络上的攻击行为。其中最有价值的部分是，它模拟了linux内核中3层和4层的协议栈。可以供我们进一步研究linux内核中的TCP/IP协议栈做一些有价值的参考。这里简单谈谈这个库中模拟3、4层协议的实现细节（在继续读下去之前，有必要复习一下TCP/IP协议相关理论，主要是滑动窗口协议）。这里送上一张网上到处都有的TCP状态转化图，算是开胃小菜：

libnids 源码解读加了大量的注释

11-19

libnids 源码解读,加了大量的注释,尤其是IP,TCP重组模块

1 条评论您还未登录，请先登录后发表或查看评论

libnids分析(10)

网络审计

04-06

1735

添加数据处理过程static void add_from_skb(struct tcp_stream * a_tcp, struct half_stream * rcv, struct half_stream * snd, u_char *data, int datalen, u_int this_seq, char fin, char urg, u_int u

libnids抓不到包

网络审计

06-16

2747

程序编译链接运行无错误，但一直没有数据，后多方查找资料，得以解决 nids.h中有这么一段： struct nids_chksum_ctl { u_int netaddr; u_int mask; u_int action; u_int reserved; }; extern void nids_register_chksum_ctl(struct nids_chksu

基于libnids的TCP数据流的还原(多线程实现)

edison0716的专栏

01-03

3227

我们知道，libnids本身可以实现TCP数据流的重组，但是如果一个TCP流数据量比较大的时候，就会分成好多个TCP报文段，这些报文段在网络中的传播可能是乱序的，利用libnids可以帮助我们按顺序接收到这些报文段，即实现TCP报文段的重组。但是我们如何把这些顺序的报文段重新还原成一个完整的数据文件，也是要考虑的一个问题，因为在很多时候，单个的报文段对我们的意义不大，我们需要一个完整

libnids 分析笔记

qinggebuyao的专栏

06-27

6801

一、当日工作（或学习）内容及进展情况（以条目式陈述，必要时配图说明） Libnids读书笔记： Libnids(Library Network Intusion Detection System)网络入侵检测开发包，基于libpcap和libnet开发，是仿照linux内核中的TCP/IP协议部分而实现的。 libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端

libnids_TCP.rar_C++ TCP_build589_libnids_tcp

09-21

使用libnids进行TCP分析时，开发者可以利用其提供的API来创建自己的网络监测应用。例如，可以监听网络接口，当检测到特定的TCP连接行为时触发事件处理。这对于网络安全、流量分析、故障排查等领域具有极大的价值。 ...

libnids-tcp-code

04-24

`libnids`的主要功能之一就是TCP流的重组，它可以帮助开发者在不直接参与网络通信的情况下分析TCP会话。 **libnids的TCP重组机制** 1. **连接跟踪（Connection Tracking）**：libnids通过维护一个哈希表来跟踪每个...

tcp.rar_libnids

09-19

这个压缩包可能包含了一个名为“tcp.c”的源代码文件，该文件可能是用于演示如何利用WinPcap和Libnids来捕获并分析TCP数据包。 **TCP（传输控制协议）** TCP是Internet协议套件中的一个核心协议，负责在两个通信...

tcp.zip_libnids 源码

09-23

在“tcp.zip_libnids 源码”中，通过分析“testtcp.cpp”，我们可以深入了解libnids如何工作，以及如何利用它来实现TCP连接的分析和重组。这对于任何想要涉足网络编程和安全领域的开发者来说，都是一份宝贵的资源。

利用libnids和ibcap进行tcp会话的重组

08-18

libnids基于原始的NIDS（Network Intrusion Detection System），它能够对网络流量进行实时分析，主要功能是识别和解析TCP流。它的工作原理是在数据包到达时捕获它们，并尝试将它们重组为完整的TCP连接。libnids的...

libnids分析（5）——TCP重组

网络审计

06-19

6244

无限循环的抓包函数的回调函数调用了gen_ip_proc()函数，该函数通过判断类型进入到对应的重组阶段。下面开始分析TCP重组部分。函数名：process_tcp(data, skblen) 代码很长，如下： void process_tcp(u_char * data, int skblen)//传入数据与其长度 { struct ip *this_iphdr = (str

Libnids中tcp流处理"tcp.c"

Sunshine的专栏

04-27

3196

攻击入侵检测NIDS分析

古剑楠的专栏

08-29

1197

时间：2004-06-13 来源：http://www.ccw.com.cn/ 在网络安全发展的今天,IDS即入侵检测系统在网络环境中的使用越来越普遍，当hacker在攻击一个装有IDS的网络服务器时，首先考虑到的是如何对付IDS，攻击主要采用,一我们如何攻击IDS,二,是我们如何绕过IDS的监视。本文将详细介绍当前的主要NIDS分析。一.介绍攻击系统NIDS

使用libnids嗅探TCP流

stSahana的博客

03-16

1067

libnids中TCP/IP栈实现细节分析（下）——IP分片重组

网络审计

06-15

1483

好了，有时间了，来看看libnids中IP分片重组的方法吧。在此之前，如果不懂IP分片技术的话，请参照这里。IP分片技术比较简单暴力，没有TCP那样复杂复杂的窗口协议。基本上只是暴力的拆分和重组，代码基本在ip_defragment.c中。先从总体上说说。首先，每个IP（主机）都会有IP分片包（注意是IP，不是IP对）。所以，每个IP都有一个如下的结构体来维护上面的所以IP分片：

Libnids 网络入侵检测开发包

nemo2011的专栏

03-19

2154

一、概述 Libnids（Library Network Intrusion Detection System）是一个用于网络入检测开发的专业编程接口。它实现了基于网络的入侵检测系统的基本框架，并提供了一些基本的功能。使用Libnids可以快速地构建基于网络的入侵监测系统，并可以在此基础上进一步扩展开发。Libnids实现了入侵检测系统的底层功能，使开发者可以专注于高层的功能开发。

dpdk libnids

“相关推荐”对你有帮助么？

非常没帮助
没帮助
一般
有帮助
非常有帮助

提交