snort会话预处理sessionPacketProcessor派发过程

最新推荐文章于 2022-11-15 16:53:04 发布
最新推荐文章于 2022-11-15 16:53:04 发布
阅读量267 收藏
点赞数
分类专栏: 开源组件 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/115367522
版权

一 sessionPacketProcessor原型及功能

1.函数原型:

static void sessionPacketProcessor(Packet *p, void *context);

sessionPacketProcessor是snort预处理函数,snort所有预处理函数接口是:

typedef void (*PreprocEvalFunc)(Packet *p, void *context);

定义在plugbase.h中。

2.函数功能:

(1)判断传入Packet是否合法,不合法则返回错误;

(2)判断Packet的ssnptr是否为空,如果为空,则从scb缓存查找相关scb;

(3)调用SaveSessionFlowStatisticInfo保存网络连接记录;

(4)初始化snort策略等。

二 sessionPacketProcessor装入

sessionPacketProcessor被initializeSessionPreproc函数加载到snort的预处理链表中:

void initializeSessionPreproc(struct _SnortConfig *sc, char *args)
{
    ...
    AddFuncToPreprocList(sc, sessionPacketProcessorm PP_SESSION_PRIORITY, PP_SESSION, PROTO_BIT_ALL);
}

snort预处理链表是包含在SnortPolicy结构体内:

typedef struct _SnortPolicy
{
    ...
    PreprocEvalFuncNode *preproc_eval_funcs;        // 预处理链表
}SnortPolicy;

SnortPolicy是定义在snort.h,PreprocEvalFuncNode是预处理链表结点,定义在plugbase.h:

typedef struct _PreprocEvalFuncNode
{
    void  *context;
    uint16_t priority;
    ...
}PreprocEvalFuncNode;

三 加入预处理链表AddFuncToPreprocList

AddFuncToPreprocList定义在plugbase.c,其功能是将预处理函数加入到snort预处理链表中:

PreprocEvalFuncNode *AddFuncToPreprocList(SnortConfig *sc, ...)
{
    ...
    p = sc->targeted_policies[policy_id];        // 找到snort策略
    node = (PreprocEvalFuncNode *)SnortAlloc(sizeof(PreprocEvalFuncNode));
    // 如下代码是将node插入到p->preproc_eval_funcs
    // 如果参数preproc_id已存在于链表中 则删除node 出错处理 即preproc_id是预处理器唯一id 链表里所有预处理器都是不同的
    // 参数priority表示预处理器的优先级,priority值越小,优先级越高,将优先级高的预处理器插入靠近链表头的位置
    // 即在预处理器链表中,各结点按优先级次序排序,优先级越高,越靠近链表头
    ...
}

四 预处理函数派发DispatchPreprocessors

DispatchPreprocessors定义在detect.c,其功能是遍历snort预处理链表,依次调用所有预处理函数

static void DispatchPreprocessors(Packet *p,...)
{
    // 对某个Packet包派发所有预处理器
    p->cur_pp = policy->preproc_eval_funcs;   // 找到链表头
    ...
    ppn->func(p, ppn->context);       // 调用预处理函数
    ...
    do {
        // 如果不是Ics模式 并且包的payload为0 并且优先级大于0x200 则不做派发 退出循环
        // 如果预处理标识开启 则调用预处理函数
    } while((p->cur_pp != NULL) && !(p->packet_flags & PKT_PASS_RULE));
}

DispatchPreprocessors由预处理主函数Preprocess调用。

I am 006!
关注
专栏目录
Snort-ModSec-PreProc:Snort预处理程序以解析ModSecurity Core RuleSet
05-23
Snort预处理程序以解析ModSecurity Core RuleSet 概念验证项目开始将ModSecurity转换为嗅探模式,并具有Snort内联功能,可在数据包与攻击特征匹配后丢弃数据包。 因此,有效负载不应能够到达目标并到达第5层及更...
snort会话控制块scb
wangzhicheng2013的专栏
03-20 446
会话控制块session control block含义 scb是snort用来保存一次完整会话信息,包括会话Key,会话首次时间,会话最终时间,会话过期时间,ttl信息,snort策略ID,服务端IP,客户端IP,服务端通信端口,客户端通信端口,协议,MAC地址,客户端请求字节数,服务端响应字节数,会话ID,客户端请求包数,服务端响应包数等,其定义在snort源码preprocessors/Session/session_common.h: typedef struct _Sessio..
snort学习
最新发布
SmallGiraffe的博客
11-15 865
snort3学习
snort预处理开发HelloWorld
无名J0kзr的博客
04-15 1448
文章目录参考1. 预处理回顾2. README.PLUGINS3. spp_template.c 参考 Snort预处理插件HelloWorld程序开发 Snort预处理介绍(详细) 本专栏所有相关博文使用的snort版本均为 2.9.15 1. 预处理回顾 预处理Snort应用规则前处理接收到的数据 预处理对每一个数据包只执行一次 被捕获的数据包首先经过预处理,然后经过探测引擎根...
Snort 中文手册
斑竹的程序设计专栏
09-17 2107
Snort 中文手册摘要snort有三种工作模式:嗅探、数据包记录、网络入侵检测系统。嗅探模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的,而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则,并根据检测结果采取一定的动作。(2003-12-11 16:39:12)Snort 用户手册 第一章
snort2.9规则-学习笔记
weixin_44813582的博客
05-07 7165
目录 规则动作 协议部分 Ip地址 端口号 方向操作符 规则选项 general rule options payload detection rule options non-payload detection rule options post-detection rule options 大多数snort规则都写在一个单行上,或者在多行之间的行尾用/分隔。Snort规则...
snort配置过程
05-04
是关于snort的配置,对snort的安装及配置做了一定的概述,该如何安装,如何配置好snort
Snort-2.9.13-插件开发步骤.docx
07-08
### Snort 2.9.13 预处理插件开发步骤详解 #### 一、概述 Snort是一款开源的网络入侵检测系统(IDS),它能够实时分析网络流量,识别潜在的安全威胁,并做出响应。Snort支持多种操作模式,包括网络入侵检测系统(NIDS...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort策略配置分析
04-25 3994
概述    snrot使用一种简单的轻量级的规则描述语言来描述它的规则配置信息,它灵活而强大。在版本1.8之前snort规则必须写在一个单行上,在现在的版本里可以用‘/’来进行折行。    Snort规则被分成两个逻辑部分:规则头和规则选项。规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息;规则选项部分包含报警消息内容和要检查的包的具体部分。下面是一个规则范例:  al
【网络安全】Snort框架代码简要分析及输出
Walter的专栏
01-20 6291
Snort框架代码分析:后续对每个模块单独进行分析,snort主要采用插件注册方式,目前还支持动态插件即读取动态库的方式注册加载。 主要流程在SnortMain函数中 1、SnortInit         注册输出插件alert_fast,alert_full等函数         注册preprocess插件,如stream5,frag3,rpc,arp,httpinspect   
数据预处理的四种方式
热门推荐
李威威的博客
10-19 1万+
数据预处理 调整数据尺寸 让所有的属性按照相同的尺度来度量数据; 梯度下降算法 神经网络 SVM 回归算法 K 近邻算法 # 调整数据尺度(0..) import pandas as pd import numpy as np from sklearn.preprocessing import MinMaxScaler # 导入数据 filename = 'pima_data.csv' na...
Session原理解释,为什么使用session
jlin991的博客
02-25 9751
Cookie的作用之前的一篇博客已经介绍了Cookie是用来记录服务和客户端的状态,或者说记录用户的登录信息。 我们的HTTP是无连接的,所以我们需要Cookie来进行用户和连接信息的记录。 利用cookie我们就可以跟踪用户了Cookie技术 在HTTP响应报文中有一个cookie的首部行Set-Cookie HTTP请求报文中有一个cookie的首部行,每次请求都会加上这个cookie
ros上安装kinect2的教程总结
SolaxiY的博客
07-03 1421
连接:点击打开链接我在安装的时遇到的错误问题:1:插入kinect时显示没有设备连接,需要在ubuntu设置里面打开usb3.0的接口2:接上面的问题打开后重新运行./bin/Protonect发现出现错误:[Error] [OpenGLDepthPacketProcessorImpl] GLFW error 65543 The requested client API version is un...
snort 源码分析之 模式匹配引擎接口 SearchAPI 源码分析(AC算法)
guoguangwu的专栏
03-08 1569
/* * 基于snort-2.9.5的源码进行分析 * src/preprocessors/str_search.h|.c */ /* * t_search 结构用于管理SearchAPI对象 */ typedef struct tag_search { /* * mpse 由mpseNew函数创建 */ void *mpse; /* ...
Snort攻略笔记(一)
GGGYL111的博客
01-18 1184
文章目录IDS基本概念Snort基础 IDS基本概念 IDS内部结构:事件产生(传感/嗅探);事件分析(核心);响应单元;事件数据库; IDS检测技术两大类:1. 基于特征(规则) 2. 基于异常 特征检测和异常检测的区别: 特征检测的准确度高,但是容易产生漏报的情况,因为它只去匹配特征库里的攻击,对于未知的攻击,基本上是无能为力;异常检测的准确率会低一些,因为容易产生误报的情况,把一些不是入侵的也当做入侵处理了,但是它能够识别一些未知的入侵(虽然可能误报,但是宁可错杀也不愿漏杀是吧)。这两种可以理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值