libnids运行机制 函数调用流程

最新推荐文章于 2019-04-09 15:46:31 发布
最新推荐文章于 2019-04-09 15:46:31 发布
阅读量617 收藏
点赞数
分类专栏: libnids


libnids函数调用流程:http://sourcecodebrowser.com/libnids/1.23/tcp_8c.html


http://www.cnblogs.com/renhao/archive/2011/08/29/2158334.html


(1)系统调用 int nids_init() 初始化程序

  (2)int nids_init() 调用函数 init_procs();

  以下是该函数的实现代码:

复制代码 
 1 staticvoid init_procs()
 2 {
 3     ip_frag_procs = mknew(struct proc_node);
 4     ip_frag_procs->item = gen_ip_frag_proc;
 5     ip_frag_procs->next =0;
 6     ip_procs = mknew(struct proc_node);
 7     ip_procs->item = gen_ip_proc;
 8     ip_procs->next =0;
 9     tcp_procs =0;
10     udp_procs =0;
11 }

程第四行指定了ip_frag_procs的处理函数(这是仅仅是指定,没有实际的处理)。

(3)调用函数int nids_run()。

   函数nids_run的实现代码如下:

复制代码 
 1 int nids_run()
 2 {
 3 if (!desc) {
 4     strcpy(nids_errbuf, "Libnids not initialized");
 5 return0;
 6     }
 7     START_CAP_QUEUE_PROCESS_THREAD(); /* threading... */
 8     pcap_loop(desc, -1, (pcap_handler) nids_pcap_handler, 0);
 9 /* FIXME: will this code ever be called? Don't think so - mcree */
10     STOP_CAP_QUEUE_PROCESS_THREAD(); 
11     nids_exit();
12 return0;
13 }

(4)程序第7行调用START_CAP_QUEUE_PROCESS_THREAD开启了一个新的线程,该线程正是我们的组包处理程序。该宏定义展开如下:


 
1 #define START_CAP_QUEUE_PROCESS_THREAD() \
2 if(nids_params.multiproc) { /* threading... */ \
3 if(!(g_thread_create_full((GThreadFunc)cap_queue_process_thread,NULL,0,FALSE,TRUE,G_THREAD_PRIORITY_LOW,&gerror))) { \
4         strcpy(nids_errbuf, "thread: "); \
5         strncat(nids_errbuf, gerror->message, sizeof(nids_errbuf) -8); \
6 return0; \
 7      }; \
 8     }

 

可以看到创建的新线程为cap_queue_process_thread,其函数实现代码如下:


 
 1 staticvoid cap_queue_process_thread()
 2 {
 3 struct cap_queue_item *qitem;
 4      
 5 while(1) { /* loop "forever" */
 6       qitem=g_async_queue_pop(cap_queue);
 7       if (qitem==&EOF_item) break; /* EOF item received: we should exit */
 8       call_ip_frag_procs(qitem->data,qitem->caplen);
 9       free(qitem->data);
10       free(qitem);
11      }
12      g_thread_exit(NULL);
13 }

函数第8行调用call_ip_frag_procs,其实现代码如下:

1 staticvoid call_ip_frag_procs(void*data,bpf_u_int32 caplen)
2 {
3 struct proc_node *i;
4 for (i = ip_frag_procs; i; i = i->next)
5     (i->item) (data, caplen);
6 }

函数第4行调用了我们的ip_frag_procs,这样我们又看到步骤(2)中的这个处理函数链表链表。回过头来看看这个默认的处理函数的结构:


1 staticvoid gen_p_frag_proc(u_char * data, int len) 
2  {
3     ......
4 for (i = ip_procs; i; i = i->next)
5      (i->item) (iph, skblen);
6     ......
7 }

程序4行调用了ip_procs在步骤(2)中的默认值为gen_ip_proc ,这个函数就是我们最终的处理函数了,在这里我们终于看到了我们的TCP ,UDP,ICMP的处理,代码如下:


 
 1 staticvoid gen_ip_proc(u_char * data, int skblen)
 2 {
 3 switch (((struct ip *) data)->ip_p) {
 4 case IPPROTO_TCP:
 5     process_tcp(data, skblen);
 6 break;
 7 case IPPROTO_UDP:
 8     process_udp((char*)data);
 9 break;
10 case IPPROTO_ICMP:
11 if (nids_params.n_tcp_streams)
12         process_icmp(data);
13 break;
14 default:
15 break;
16     }
17 }
算法+数据结构
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
libnids分析(5)——TCP重组
网络审计
06-19 6268
无限循环的抓包函数的回调函数调用了gen_ip_proc()函数,该函数通过判断类型进入到对应的重组阶段。下面开始分析TCP重组部分。 函数名:process_tcp(data, skblen) 代码很长,如下: void process_tcp(u_char * data, int skblen)//传入数据与其长度 { struct ip *this_iphdr = (str
VC++分析数据包实现UDP协议分析
尹成的技术博客
11-07 3854
UDP 是User Datagram Protocol的简称, 中文名是用户数据报协议,是 OSI 参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务,IETF RFC 768是UDP的正式规范。用户数据报协议  UDP是OSI参考模型中一种无连接的传输层协议,提供面向事务的简单不可靠信息传送服务。UDP 协议基本上是IP协议与上层协议的接口。UDP协议适用端口分别运行在同一台
libnids中TCP重组中的主要函数process_tcp()分析
anduobiao0736的博客
04-02 326
重点:这篇为转载,作者在这块分析的很好,虽然现在libnids已经更新到了1.24,但函数的大体流程还是未变,正文 1 void process_tcp(u_char * data, int skblen)//传入数据与其长度 2 { 3 struct ip *this_iphdr = (struct ip *)data;//ip与tcp结构体见后面说明 4 ...
libnids分析
程序狗的成长之路
08-15 1365
典型的运用 libnids 的应用代码 下面是应用 libnids 的典型代码,节选自 libnids 自带的范例: sample/sniff.c Toggle linenumbers 1 4 void 5 sniff_callback (struct tcp_stream *a_tcp, void **this_time_not_needed) 6 7
libnids最新开发包
12-27
3. **事件处理**:它提供了一种机制来注册回调函数,当特定的网络事件发生(如新的TCP连接、数据包到达等)时,这些函数会被调用,允许开发者编写自定义的处理逻辑。 4. **非阻塞I/O**:Libnids使用非阻塞I/O模型,...
VC++分析数据包实现TCP协议的分析
尹成的技术博客
11-07 3771
TCP:Transmission Control Protocol 传输控制协议TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议,由IETF的RFC 793说明(specified)。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,UDP是同一层内另一个重要的传输协议。  TCP作用    TCP建立连接时的三次握手在因特网协
VC++分析数据包实现POP3协议分析
尹成的技术博客
11-07 3980
POP3(Post Office Protocol 3)即邮局协议的第3个版本,它是规定个人计算机如何连接到互联网上的邮件服务器进行收发邮件的协议。它是因特网电子邮件的第一个离线协议标准,POP3协议允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时根据客户端的操作删除或保存在邮件服务器上的邮件,而POP3服务器则是遵循POP3协议的接收邮件服务器,用来接收电子邮件的。POP3协议是
基于SMTP的网络电子邮件
03-12
3. **初始化Libnids**:通过调用`nids_init()`函数来初始化Libnids,为后续的数据包捕获做好准备。 4. **注册回调函数**:注册一个回调函数,当数据包被捕获时将调用此函数进行进一步处理。 5. **循环捕获数据包**:...
libnids-1.21 中 IP 分片重组分析 之数据结构与处理流程
sandrain_zeq的专栏
06-13 9752
 1、 IP分片    任何IP层接收到一份要发送的IP数据报时,它要判断向本地哪个接口发送数据,并查询该接口的MTU。IP把MTU与数据报的长度进行比较,如果需要则进行分片。分片可以发生在原始发送端主机上,也可以发送在中间路由器上。IP数据报分片后,只有到达目的主机后才进行重装。IP首部与分片有关的字段:  (1)对于每份IP数据报来说,都有一个标识字段,该值在分片时被复
Libnids中tcp流处理"tcp.c"
Sunshine的专栏
04-27 3209
tcp.c /* Copyright (c) 1999 Rafal Wojtczuk . All rights reserved. See the file COPYING for license details. */ #include #include #include #include #include #include #include #include #i
libnids
weixin_34304013的博客
03-23 295
一、简介   libnids的英文意思是 Network Intrusion Detect System library,即网络入侵监测系统函数库。它是在前面介绍的两种C函数接口库libnet和libpcap的基础上开发的,封装了开发NIDS所需的许 多通用型函数。linids提供的接口函数监视流经本地的所有网络通信,检查数据包等。除此之外,还具有重组TCP数据段、处理IP分片包和监测TCP端 ...
Libnids】跑通samples(小白向)| 解决printall抓不到包
sinat_36231857的博客
04-09 1369
目录 前言 跑通 samples 分析printall.c 执行printall之后未报错也未捕获数据 一些小tips 前言 对于没有系统学过Linux的我来说,毕设做 libnids 真是脑壳疼。 对于小白来说,我们首先要做的就是熟悉这个软件,知道它有什么功能。 请大家养成一个好习惯, 去看官方文档!官方文档!官方文档! 下面给大家指路: 这是被翻译成中文的api文档(适...
libnids 分析笔记
qinggebuyao的专栏
06-27 6851
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
libnids注册删除回调函数
denggushu0855的博客
08-29 118
1 void 2 register_callback(struct proc_node **procs, void (*x)) 3 { 4 struct proc_node *ipp; 5 6 for (ipp =*procs; ipp; ipp = ipp->next)//判断该回调函数是否存在 7 if (x == ipp->item) 8 return; 9 ...
基于libnids的TCP数据流的还原(多线程实现)
edison0716的专栏
01-03 3267
 我们知道,libnids本身可以实现TCP数据流的重组,但是如果一个TCP流数据量比较大的时候,就会分成好多个TCP报文段,这些报文段在网络中的传播可能是乱序的,利用libnids可以帮助我们按顺序接收到这些报文段,即实现TCP报文段的重组。    但是我们如何把这些顺序的报文段重新还原成一个完整的数据文件,也是要考虑的一个问题,因为在很多时候,单个的报文段对我们的意义不大,我们需要一个完整
libnids分析(3)
网络审计
06-19 1457
在nids_init()函数中,TCP初始化完成之后,进行ip包初始化,函数如下: ip_frag_init(nids_params.n_hosts);//ip哈希表大小,默认256 int ip_frag_init(int n) { struct timeval tv; gettimeofday(&tv, 0); time0 = tv.tv_sec; fragtab
libnids学习笔记------【hash算法】
denggushu0855的博客
08-26 193
[1] IP四元组hash u_intmkhash (u_int src, u_short sport, u_int dest, u_short dport){ u_int res = 0; int i; u_char data[12]; u_int *stupid_strict_aliasing_warnings=(u_int*)data; *stupid_strict_a...
libnids不调用回调函数
最新发布
03-16
libnids是一个用于网络入侵检测系统(NIDS)的库,它可以用来监控和分析...总之,如果你不想使用回调函数,你可以使用libnids提供的API函数或事件机制来处理网络数据包。这样可以让你更灵活地控制和处理libnids的数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值