snort会话控制块scb

最新推荐文章于 2023-07-12 18:29:10 发布
最新推荐文章于 2023-07-12 18:29:10 发布
阅读量430 收藏
点赞数
分类专栏: 开源组件 C 算法系列 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/115029270
版权
Linux 同时被 3 个专栏收录
383 篇文章 3 订阅
订阅专栏
C 算法系列
55 篇文章 3 订阅
订阅专栏
开源组件
22 篇文章 1 订阅
订阅专栏

一 会话控制块session control block含义

    scb是snort用来保存一次完整会话信息,包括会话Key,会话首次时间,会话最终时间,会话过期时间,ttl信息,snort策略ID,服务器端IP,客户端IP,服务端通信端口,客户端通信端口,协议,MAC地址,客户端请求字节数,服务端响应字节数,会话ID,客户端请求包数,服务端响应包数等,其定义在snort源码preprocessors/Session/session_common.h:

typedef struct _SessionControlBlock
{
    SessionKey *key;            // snort将session存储到hash表,key就是其相应的键值
    StreamAppData *appDataList; // 将应用协议(egd, modbus, s7等)和应用协议解析数据及释放解析数据函数组织成双向链表
    ...
    sfaddr_t client_ip;         // 客户端IP
    sfaddr_t server_ip;         // 服务端IP
    ...
    uint64_t initiaorBytes;     // 客户端请求字节数
    uint64_t responderBytes;    // 服务端请求字节数
    ...
    long session_lastest_time;      // 会话最近时间
    uint64_t requestpacketCount;    // 客户端请求包数
    uint64_t responsepacketCount;   // 服务端请求包数
}SessionControlBlock;

1.SessionKey:snort将所有会话存入hash表,key就是hash表的key,SessionKey定义在session_api.h中:

typedef struct _StreamSessionKey
{
    uint32_t ip_l[4];
    uint32_t ip_h[4];
    uint16_t port_l;
    uint16_t port_h;
    ...
}StreamSessionKey;

snort在会话处理时,会根据key进行判断,如果两个session的key相同,则snort认为是同一个会话,即:两个会话ip,端口等信息一致,比如会话A:192.168.1.10:9000=>192.168.1.12:9000,会话B:192.168.1.12:9000=>192.168.1.10:9000,则A,B是同一个会话。

2.initiaorBytes和responderBytes是当前会话的请求和响应字节数,如果业务层会定期取会话的请求和响应字节数,那么对于同一个会话,这两个值是累加值,当会话关闭,这两个值会被snort清零。

3.每个snort包都包含一个session指针

snort包结构是SFSnortPacket,定义在dynamic-plugins/sf_engine/sf_snort,packet.h:

typedef struct _SFSnortPacket
{
    const SFDAQ_PktHdr_t *pkt_header;       // 包头信息
    const uint8_t *pkt_data;                // 指向包数据
    ...
    void *stream_session;                   // 指向scb
}SFSnortPacket;

这样snort在处理包是可以和会话相关联。

二 会话处理函数集SessionAPI

1.SessionAPI是一个结构体,它包含了会话处理的所有函数指针,其定义在snort源码precessorors/session_api.h:

typedef struct _session_api
{
    int version;
    ...
    void *(*get_session)(void *, Packet *, SessionKey *);                                       // 根据snort包和会话key查询会话
    ...
    void (*get_session_bytes)(void *, uint64_t *initiaorBytes, uint64_t *responderBytes);       // 从scb拿出请求和响应字节数
    ...
}SessionAPI;

2.SessionAPI被嵌入到全局对象_dpd中,方便在插件使用:

typedef struct _DynamicPreprocessorData
{
    ...
    SessionAPI *sessionAPI
    ...
}DynamicPreprocessorData;

3.在插件中使用SessionAPI

static inline void Egd_Save_action(SFSnortPacket *p, EgdSessionData *egdSessionData)
{
    ...
    if (p && p->stream_session)          // 使用包里stream_session
    {
        _dpd.sessionAPI->get_session_id(p->stream_session, &savemdb.sessionID);       // 从scb拿出sessionID
    }拿出请求和响应字节数
    ...
}
EgdSessionData *GetEgdSessionData(SFSnortPacket *p, EdgConfig *config)
{
    ...
    _dpd.sessionAPI->set_application_data(p->stream_session, PP_EGD, edgSessionData, FreeEgdSessionData);
}

set_application_data是spp_session.c的setApplicationData函数指针,将edgSessionData和FreeEgdSessionData插入scb的appDataList中并释放老的相同协议数据:

static int setApplicationData(void *scbptr,uint32_t protocol, void *data, StreamAppDataFree free_func)
{
    ...
    if (scbptr)         //scbptr指向scb
    {
        scb = (SessionControlBlock *)scpptr;
        appData = scb->appDataList;      // 找到协议双向链表
        while (appData)     // 遍历链表
        {
            if (appData->protocol == protocol)       // 找到目标协议
            {
                if ((appData->freeFunc) && (appData->datapointer != data)) // 目标结点里数据指针和传入指针不同 则利用free_func将结点里协议数据释放
                {
                    ...
                }
            }
            ...
        }
        if (!appData)       // 在链表中查不到该协议 则构造新结点插入链表头
        {
            ...
        }
    }
}

三 初始化会话预处理initializeSessionPreproc

该函数定义在preprocessor/Stream6/spp_session.c:

void initializeSessionPreproc(struct _SnortConfig *sc, char *args)
{
    if (session_configuration == NULL)  // 会话配置只能初始化一次
    {
        session_configuration = initSessionConfiguration(); // 分配session_configuration存储空间并初始化相关参数
        ...
        AddFuncToPreprocList(sc, sessionPacketProcessor, PP_SESSION_PRIORITY, PP_SESSION, PROTO_BIT_ALL);   // 将sessionPacketProcessor装入snort策略的预处理链表中
    }
    else
    {
        WarningMessage("...);
    }
}

四 会话预处理sessionPacketProcessor

该函数定义在preprocessor/Stream6/spp_session.c:

static void sessionPacketProcessor(Packet *p, void *context)
{
    // 判断p是否合法
    // 如果p的scb为空,则根据p的协议从相应SessionCache里的hash表查询scb,这里的hash表就是sfxhash,SessionCache是一个4元素数组,每个元素对应一种协议(tcp,udp,icmp,ip)会话缓存
    ...
    if (t_now - scb->session_lastest_time > scb->session_config->long_connect_time_interval)    // 达到会话保存时间 60s
    {
        scb->session_lastest_time = t_now;
        SaveSessionFlowStaticsInfo(scb, 0);     // 调用snort里保存网络会话信息接口,将相关信息保存到共享内存,以供审计进程做业务处理
    }
    ...
}

1.会话缓存proto_session_caches

会话缓存是SessionCache结构的数组,维度是4,分别对应tcp,udp,icmp,ip四种协议:

typedef struct _SessionCache
{
    SFXHASH *hashTable;     // scb存储到sfxhash表
    SFXHASH_NODE *nextTimeoutEvalNode;
    ...
}SessionCache;

2.会话保存时间

会话保存时间是long_connect_time_interval,由snort配置解析函数parseSessionConfiguration从snort,conf解析而得,如下:

3.会话预处理逻辑:

(1)如果packet里的ssnptr为空,则从会话缓存查询scb,并且按照snort配置保存网络会话信息;

(2)否则,获取scb,即scb = p→ssnptr;

(3)调用initializePacketPolicy等函数进行相关处理。

五 会话删除deleteSession

该函数定义在preprocessor/Stream6/spp_session.c:

static int deleteSession(void *sessionCache, void *session, char *delete_reason)
{
    ...
    freeSessionApplicationData(scb);        // 是否scb的appDataList 即协议链表
    SaveSessionFlowStatisticsInfo(scb,1);   // 网络会话断开业务处理
    clearSessionApplicationData(scb);       // 清除scb的请求字节等数据
}

需要注意是:当会话断开时,scb保存到共享内存后,请求字节数不为0,但其状态已经是close,其值表示相应会话的累加最值。

函数deleteSessionIfClosed会调用deleteSession:

static int deleteSessionIfClosed(Packet *p)
{
    ...
    if (scb->is_session_state & STREAM_STATE_CLOSED)     // 会话关闭状态
    {
        if (scb->is_session_deletion_delayed)    // 延迟删除
        ...
        switch (scb->protocol)
        {
            case IPPROTO_TCP:       // 根据不同协议 删除scb
                deleteSession(proto_session_caches[SESSION_PROTO_TCP], scb, "closed normally");    
            ...
        }
    }
    ...
}

函数Preprocess调用check_session_closed(deleteSessionIfClosed的函数指针),其代码位于detect.c:

int Preprocess(Packet *p)
{
    ...
    if (do_detect)
        Detect(p);      // snort检测
    ...
    if (session_api)
        session_api->check_session_closed(p);    // 检测之后就删除会话
}

除了Preprocessor之外,还有pruneOneWaySession=》deleteSession,pruneSessionCache=》deleteSession。

I am 006!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6287
Snort框架代码分析:后续对每个模单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数中 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort会话预处理sessionPacketProcessor派发过程
wangzhicheng2013的专栏
04-01 253
sessionPacketProcessor原型及功能 1.函数原型: static void sessionPacketProcessor(Packet *p, void *context); sessionPacketProcessor是snort预处理函数,snort所有预处理函数接口是: typedef void (*PreprocEvalFunc)(Packet *p, void *context); 定义在plugbase.h中。 2.函数功能: (1)判断传入Packet
会话控制
最新发布
m0_73442777的博客
07-12 194
Node.js提供了多种方式来实现会话控制。最常用的方法是使用会话中间件,如Express框架提供的express-session。这些中间件使用会话标识符将会话数据存储在服务器端,并为每个用户分配一个唯一的标识符。开发人员可以将用户信息和其他相关数据存储在会话中,以便在整个应用程序的不同请求中进行访问和更新。
snort学习
SmallGiraffe的博客
11-15 843
snort3学习
redis性能测试tcp socket and unix domain
weixin_30892763的博客
12-31 574
UNIX Domain Socket IPC socket API原本是为网络通讯设计的,但后来在socket的框架上发展出一种IPC机制,就是UNIX Domain Socket。虽然网络socket也可用于同一台主机的进程间通讯(通过loopback地址127.0.0.1),但是UNIX Domain Socket用于IPC更有效率:不需要经过网络协议栈,不需要打包拆包、计算校验和、维护序号...
linux交叉编译snort到cavium
11-24
压缩包内部包含7个软件:libdnet snort daq pcap pcre zlib openssl,每个交叉编译的步骤。文档只是记录自己编译的过程,基本编译按照模式来不会出问题,依赖库需要自己移到开发板上。可自行考虑连接静态库
Snort环境资源包.zip
06-25
Snort是一款著名的开源网络入侵检测系统(IDS),它能够实时监测网络流量,识别潜在的攻击行为。本资源包“Snort环境资源包.zip”显然是为了在Windows平台上搭建Snort环境而准备的。以下是对包内文件的详细解读: 1...
snort2.8.6安装所需
01-07
Snort是一款著名的开源网络入侵检测系统(IDS),用于监控网络流量并识别潜在的攻击行为。在本场景中,我们关注的是Snort的2.8.6版本的安装过程,这通常涉及一系列步骤和依赖项。以下是一份详细的Snort 2.8.6安装...
snort实验包.zip
01-02
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过预定义的规则检测潜在的攻击行为。本实验包是针对 Snort 的实践操作,结合了 MySQL 数据库,以提高报警管理和数据分析的能力。我们将深入...
链式事件流轻量级迷你JS库hubJS
08-11
通过简单的方式去处理来自 自定义发布者 / DOM 元素 / Fetch 请求 / WebSocket / socket io 事件流。
snort策略配置分析
04-25 3983
概述    snrot使用一种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。在版本1.8之前snort规则必须写在一个单行上,在现在的版本里可以用‘/’来进行折行。    Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例:  al
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7065
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
SNORT入侵检测系统
12-06 2990
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日...
Snort入门(二)
GGGYL111的博客
01-14 874
文章目录1.5 读取pcap文件1.5.1 命令行参数1.5.2 Example1.6 基本输出1.6.1 Timing statistics 时间统计1.6.2 Packet I/O Totals 总的流入流出包1.6.3 Protocol Statistics 协议数据包 1.5 读取pcap文件 可以让Snort捕获数据包之后去分析,对测试和调试snort很有帮助 1.5.1 命令行参数 可以一次或者多次指定以下命令,--pcap-reset and --pcap-show用一次和多次的效果是一样的
snort:预处理器开发HelloWorld
无名J0kзr的博客
04-15 1183
文章目录参考1. 预处理器回顾2. README.PLUGINS3. spp_template.c 参考 Snort预处理插件HelloWorld程序开发 Snort预处理器介绍(详细) 本专栏所有相关博文使用的snort版本均为 2.9.15 1. 预处理器回顾 预处理器在Snort应用规则前处理接收到的数据 预处理器对每一个数据包只执行一次 被捕获的数据包首先经过预处理器,然后经过探测引擎根...
Snort入侵检测系统简介
热门推荐
bobozai86的博客
07-26 2万+
原文源自:https://www.jianshu.com/p/113345bbf2f7 前言        防火墙可以比喻为办公室门口的警卫,用来检查进出者的身份。而入侵检测系统就像是网上的警报器,当发现入侵者时,指出入侵者的来历、他们正在做什么。入侵检测系统被视为防火墙之后的第二道安全闸门。 Snort IDS概述         Snort IDS(入侵检测系统)是一个强大的网络入侵检...
求最小2的幂
weixin_34116110的博客
07-08 308
2019独角兽企业重金招聘Python工程师标准>>> ...
Snort 1.9 常见问题解答
"Snort Frequented Asked Questions (1.9) 涵盖了Snort 1.9版本中用户经常遇到的问题,由Snort核心团队提供。此FAQ旨在解答关于Snort IDS/IPS系统的一系列常见问题。" Snort是一款广泛使用的开源入侵检测系统(IDS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值