snort检测插件初始化流程

最新推荐文章于 2022-07-31 20:53:58 发布
最新推荐文章于 2022-07-31 20:53:58 发布
阅读量201 收藏
点赞数
分类专栏: 开源组件 Linux C 算法系列 文章标签: 链表 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/121262883
版权
Linux 同时被 3 个专栏收录
383 篇文章 3 订阅
订阅专栏
C 算法系列
55 篇文章 3 订阅
订阅专栏
开源组件
22 篇文章 1 订阅
订阅专栏

一 检测插件概述

1.代码位置:snort源码src/detection-plugins

2.作用:snort规则体可定义关键词,如对于ICMP协议的itype,icode等,这些关键词及其参数都会被检测插件解析,并调用检测插件相关函数进行处理。如在规则体定义itype:3,那么检测插件会根据输入分组packet结构的icmp协议的type和规则里itype进行比较操作。

二 检测插件Setup

每个检测插件都有Setup函数,例如sp_icmp_type_check.c中的SetupIcmpTypeCheck函数:

void SetupIcmpTypeCheck(void)
{
    RegisterRuleOption("itype", IcmpTypeCheckInit, NULL, OPT_TYPE_DETECTION, NULL);
    ...
}

函数调用链:RegisterRuleOptions=>SetupIcmpTypeCheck=>RegisterRuleOption

1.RegisterRuleOptions定义在plugbase,c中,完成三维链表底层链表(规则体)初始化。

2.RegisterRuleOption定义在plugbase,c中,生成RuleOptConfigFuncNode结点插入链表rule_opt_config_funcs(定义在snort.cc)尾部。

三 检测插件Init

每个检测插件都有Init函数,例如sp_icmp_type_check.c中的IcmpTypeCheckInit函数:

void IcmpTypeCheckInit(struct _SnortConfig *sc, char *data, OptTreeNode *otn, int protocol)
{
    ...
    otn->ds_list[PLUGIN_ICMP_TYPE] = (IcmpTypeCheckData *)SnortAlloc(sizeof(IcmpTypeCheckData)); // 新建结点,挂到三维链表上
    ParseIcmpType(sc, data, otn);                       // 解析icmp规则里的itype值
    fpl = AddOptFuncToList(IcmpTypeCheck, otn);         // 将检测函数挂到otn的相关链表上
}

Init过程完成三维链表中相关键词检测初始化工作,即解析关键词,将关键词检测函数挂接到三维链表中。

I am 006!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Snort的工作原理
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
构建基于Snort+Splunk的IDS系统
最新发布
李晨光原创IT博客
01-26 765
本文详细介绍了如何通过Splunk来分析Snort日志。
Snort框架分析
ljl1704的专栏
01-07 1213
下面是snort2.0的框架分析,相比snort之后的版本,其结构比较简单、更容易学习和理解,其次是 本人对此版本相对比较熟悉一些,可以为初次接触和学习snort的朋友提供帮助,能够快速整体全局性地 了解snort的基本框架。下面从四个方面展开描述。 一、snort插件 snort中的插件有3类,输出插件,预处理插件,规则选项检测插件 插件的好处: 灵活地选择使用哪些功能 开发人员很容易开发第三方插件,易于扩展。 1、输出插件 InitOutputPlugins //输出插件初始化函数注册 1) 注册过.
snort输出插件解析
wangzhicheng2013的专栏
07-28 643
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
snort:工作流程及结构解析
无名J0kзr的博客
03-28 2258
文章目录参考文章CentOS 7下安装snort1. 安装mwget(可省略)2. 安装依赖3. 下载LuaJIT、daq、snort4. 安装LuaJIT、daq、snortLuaJITdaqsnort安装完成 参考文章 入侵检测系统详解(IDS) IDS入侵检测系统(snort)刚出炉滴 CentOS 7下安装snort CentOS 7下安装snort 1. 安装mwget(可省略) 为了提...
入侵检测检测系统snort开源
03-19
入侵检测检测系统snort开源
基于蜜罐提升Snort检测能力的设计
04-16
在应对网络攻击过程中,入侵检测系统Snort扮演了重要角色,如何提升Snort的防护水平至关重要。本文提出了一种利用低交互蜜罐系统捕获网络攻击流量,提取攻击特征,进而主动提升Snort检测能力,实现快速发现安全威胁...
snort-sort.zip_Snort 安全检测
09-24
入侵检测(Intrusion Detection),它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象
入侵检测系统snort的安装与实验
09-22
随着科学技术的发展,互联网给人类社会带来了前所未有变化,对经济、文化、生产、生活等人类社会各领域都有重大的影响,并逐渐成为人们日常工作和生活的一部分,如电子商务、远程教育、信息共享、休闲娱乐等都逐步...
Snort平台下检测插件技术的研究与实现
10-10
是一篇关于snort插件技术开发的论文,介绍了如何二次开发snort
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重新再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
Snort-2.9.13-插件开发步骤.docx
07-08
Snort-2.9.13的预处理插件开发步骤以及遇到的问题,自己学习snort的时候写的。是预处理器插件开发的HelloWorld程序。
snort入侵检测系统
11-10
在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的...
Snort入侵检测系统的构建
06-23
入侵检测系统是一种主动、实时、自动检测入侵行为的工具和手段。本文介绍了在W indows平台下Snort入侵检测系统的构建,并通过测试,证实了该系统的有效性。
VPP snort插件
redwingz的博客
07-31 877
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.so和snort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
Snort预处理插件HelloWorld程序开发
IMBA_09的博客
07-10 1562
本文主要内容:Snort预处理插件开发步骤,关于Snort预处理插件程序资源的列举
Snort日志输出插件详解
weixin_33898233的博客
03-27 3992
Snort日志输出插件详解  Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1    工作模式及输出插件Snort拥有3种工作...
基于Snort的分布式入侵检测系统的研究与设计
07-04
通过基于Snort的集中式网络入侵检测系统,论述了基于Snort的分布式入侵检测系统框架在网络中的构建思路与实现方法,设想通过层次化的分布式结构实现分布式检测与集中式管理的统一,有效解决校园网络所面临的安全威胁。
snort初始化有哪些流程
06-08
4. 初始化输出插件Snort支持多种输出插件,例如日志输出插件、警报输出插件等等,这些插件用于在检测到攻击行为时将结果输出到指定的地方。Snort初始化时会加载这些输出插件,并根据配置文件中的选项来确定是否...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值