snort PQ_SetUp函数流程分析

最新推荐文章于 2023-08-11 18:15:17 发布
最新推荐文章于 2023-08-11 18:15:17 发布
阅读量120 收藏
点赞数
分类专栏: 开源组件 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/119538555
版权

一 函数功能

将通过命令行解析的pcap对象列表内容导入snort的pcap队列。

二 队列、链表数据结构

snort.cc定义的队列与链表都是同一种数据结构,即:

typedef struct sf_list
{
    SF_LNODE *head, *tail;
    SF_LNODE *cur;
    unsigned count;
} SF_QUEUE, SF_STACK, SF_LIST;
// 前驱后继双指针结构 NODE_DATA是void *
typedef struct sf_lnode
{
    struct sf_lnode *next;
    struct sf_lnode *prev;
    NODE_DATA ndata;
} SF_QNODE, SF_SNODE, SF_LNODE;

队列、栈、列表都是双向链表,cur指向当前正操作结点,count是链表结点数量。

pcap_object_list和pcap_queue是全局静态对象:

static SF_LIST *pcap_object_list = NULL;
static SF_QUEUE *pcap_queue = NULL;

三 函数流程

static void PQ_SetUp(void)
{
    if (pcap_object_list != NULL)
    {
        if (sflist_count(pcap_object_list) == 0)        // 链表为空 程序退出
        {
            ...
        }
        pcap_queue = sfqueue_new(); // 新建一个空结点 head tail和cur都是NULL
        ...
        if (GetPcaps(pcap_object_list, pcap_queue) == -1) // 将pcap_object_list数据导入pcap_queue
        // 释放pcap_object_list
        ...
    }
    ...
}

四 函数GetPcaps流程分析

int GetPcaps(SF_LIST *pol, SF_QUEUE *pcap_queue)
{
    ...
    for (pro = (PcapReadObject *)sflist_first(pol);         // 获取链表头结点head的ndata
         pro != NULL;
         pro = (PcapReadObject *)sflist_next(pol))          // 移动cur指针到next位置 并返回cur移动前的ndata
    {  
        type = pro->type;        // snort命令行输入的参数 比如 --pcap-dir
        arg = pro->arg;          // snort命令行输入的参数 比如 /home/pcaps/modbus
        filter = pro->filter;    // libpcap过滤参数
        switch (type)
        {
            case PCAP_SINGLE:   // 命令行输入了单个pcap文件
                ...
                if (strcmp(arg, '-') != 0)  // arg是pcap文绝对件路径
                {
                    // 使用stat获取arg状态 如果不是普通文件则报错 函数返回  
                    ...
                }
                ...
                ret = sfqueue_add(pcap_queue, (NODE_DATA)pcap);     // 将文件名作为新结点的NDATA数据插入队列
                ...
        }
        ...
    }
}

五 命令行数据导入链表PQ_Multi

static void ParseCmdLine(int argc, char **argv)
{
    ...
    while ((ch = getopt_long(argc, argv, valid_options, long_options, &option_index)) != -1)    // 解析命令行输入
    {
        ...
        // 当用户在命令行输入snort --pcap-dir /home/wangbin/pcaps/
        case PCAP_DIR:
        case PCAP_LIST:
        case PCAP_DIR:
            PQ_Multi((char)ch, optarg);
    }
}
static void PQ_Multi(char type, const char *list)
{
    ...
    if (pcap_object_list == NULL)
    {
        pcap_object_list = sflist_new();       
        ...
    }
    // 参数填充后加入链表尾部
    if (sflist_add_tail(pcap_object_list, (NODE_DATA)pro) == -1)
        ...
}

六 pcap_queue出队业务

int SnortMain(int argc, char *argv[])
{
    ...
    if (gbIsRunningModeIPs)     // ips入侵防御模式
    {
        ...
        PacketLoop();           // 从pcap_queue取数据分析
    }
}
 
void PacketLoop(void)
{
    ...
    while (!exit_logged)
    {
        ...
        if (!ScReadMode() || !PQ_Next())    // 从队列取数据分析
        ...
    }
    ...
}

I am 006!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Snort_2_9_16_Installer.x86和x64.zip
06-30
Snort_2_9_16_Installer.x86和x64.zip,Windows下Snort2.9.16 x86和x64版本
Snort_入侵检测系统源码分析
12-25
Snort_入侵检测系统源码分析Snort_入侵检测系统源码分析Snort_入侵检测系统源码分析
linux setcap命令详解(包括各个cap的使用举例)
最新发布
xdy762024688的博客
08-11 1737
1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作.Capabilities的主要思想在于分割root用户的特权,即将root的特权分割成不同的能力,每种能力代表一定的特权操作。例如:能力CAP_SYS_MODULE表示用户能够加载(或卸载)内核模块的特权操作,而CAP_SETUID表示用户能够修改进程用户身份的特权操作。
Linux Capabilities 入门教程--基础实战篇
demon7552003的小本本
05-22 728
该系列文章总共分为三篇: Linux Capabilities 入门教程:概念篇 Linux Capabilities 入门教程:基础实战篇 Linux Capabilities 入门教程:进阶实战篇 上篇文章介绍了 Linux capabilities 的诞生背景和基本原理,本文将会通过具体的示例来展示如何查看和设置文件的 capabilities。 Linux 系统中主要提供了两种工具来管理 capabilities:libcap 和 libcap-ng。libcap 提供了 getcap 和 se
shell获取capabilities_Linux Capabilities 入门教程:基础实战篇
weixin_36289211的博客
12-31 504
Linux 系统中主要提供了两种工具来管理 capabilities:libcap和libcap-ng。libcap提供了getcap和setcap两个命令来分别查看和设置文件的 capabilities,同时还提供了capsh来查看当前 shell 进程的 capabilities。libcap-ng更易于使用,使用同一个命令filecap来查看和设置 capabilit...
Linux显示机制,Linux的capabilities机制
weixin_42662171的博客
05-14 771
在传统的Linux的权限控制机制中,SUID(Set User ID on execution)是一个比较有意思的概念。例如,文件/bin/passwd设置了SUID的flag,所以普通用户在运行passwd命令时,便以passwd的所属者,即root用户的身份运行,从而修改密码。但是,这也带来了安全隐患。我们运行SUID的命令时,通常只是需要使用一小部分特权,但是使用SUID,却可以拥有root...
snort_manual.rar_linux manual_snort_manual
09-14
snort官方发布的PDF学习资料,请下载学习
snort_2_9 Installer
02-20
snort2.9的安装软件,喜欢的可以下载实施
Snort_2_9_8_0_Installer.zip
05-21
用有行序号的程序打开文件进行配置,会方便很多。
Linux的capability深入分析(2)【转】
weixin_34104341的博客
08-15 214
转自:https://blog.csdn.net/wangpengqi/article/details/9821231 rpm -ql libcap-2.16-5.2.el6.i686  /lib/libcap.so.2.16 /usr/sbin/capsh /usr/sbin/getpcaps /usr/share/doc/libcap-2...
浅谈Docker安全性支持
Docker的专栏
10-18 1405
Docker作为最重视安全的容器技术之一,在很多方面都提供了强安全性的默认配置,其中包括:容器root用户的Capability能力限制、Seccomp系统调用过滤、Ap...
Linux Capabilities 入门教程:基础实战篇
云原生实验室
11-05 2200
该系列文章总共分为三篇: Linux Capabilities 入门教程:概念篇 Linux Capabilities 入门教程:基础实战篇 待续... 上篇文章介绍了 Linux capabilities 的诞生背景和基本原理,本文将会通过具体的示例来展示如何查看和设置文件的 capabilities。 Linux 系统中主要提供了两种工具来管理 capabilities:libcap ...
[转载] Linux的capability深入分析
a172742451的专栏
04-21 2679
[转载] Linux的capability深入分析 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念,由普通用户也可以做只有超级用户可以完成的工作. 2)capability可以作用在进程上(受限),也可以作用在程序文件上,它与sudo不同,sudo只针对用户/程序/文件的概
Linux的capability深入分析(2)
热门推荐
wangpengqi的专栏
08-07 1万+
一)capability的工具介绍 在我们的试验环境是RHEL6,libcap-2.16软件包中包含了相关的capability设置及查看工作,如下: rpm -ql libcap-2.16-5.2.el6.i686  /lib/libcap.so.2 /lib/libcap.so.2.16 /lib/security/pam_cap.so
Linux的capability深入分析
ConceptCon
02-25 3638
                                  Linux的capability深入分析 from:https://www.cnblogs.com/iamfy/archive/2012/09/20/2694977.html 一)概述: 1)从2.1版开始,Linux内核有了能力(capability)的概念,即它打破了UNIX/LINUX操作系统中超级用户/普通用户的概念...
常见openssl加解密命令
wangzhicheng2013的专栏
09-22 2614
openssl enc -aes-128-cbc -in test.cpp -out test11.cpp -iv f123 -K 1223 #aes-128-cbc为填充模式 -iv指定盐 -K指定秘钥 openssl aes-128-cbc -d -in test11.cpp -out test22.cpp -iv f123 -K 1223 #解密 sha256sum test.cpp #控制台输出a4a47eb4777020e741c5b3cd6e29fd2325ebd8c13233095f5.
redis集群moved重定向与redis集群ask重定向
wangzhicheng2013的专栏
11-09 2123
1.redis集群一共有16384个虚拟slot,被均匀分配到集群里所有redis机器node上; 2.每个node之间可以互相meet操作,都知道彼此slot范围; 3.客户端向redis集群任意node发送命令,相应node使用CRC16加hash算法算出slot,如果slot命中,则返回成功影响,否则返回moved命令和正确的node号; 4.客户端收到moved命令,去目标node读写。 [root@mysql ~]# redis-cli -p 9002 127.0.0.1:9002&gt
snort初始化有哪些流程
06-08
Snort的初始化流程可以简单地概括为以下几个步骤: 1. 读取配置文件:Snort在启动时会读取配置文件,根据配置文件中的参数来确定一些运行时的选项,例如日志文件的位置、规则文件的位置、预处理器的选项等等。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值