snort_inline中与防火墙联动的实现以及代码inline.c分析

最新推荐文章于 2022-06-06 21:58:17 发布
最新推荐文章于 2022-06-06 21:58:17 发布
阅读量262 收藏 1
点赞数
原文链接:http://www.cnblogs.com/Safe3/archive/2009/03/02/1401204.html
版权
     近来想测试一个防ddos的算法的性能怎么样,但是这总要用代码实现啊,一开始是想在netfiler中实现,即在某个钩子函数下注册一个模块,但是还没怎么开始就停止了,原因就是内核编程可以使你想跳楼!其次想在iptables下实现,因为想到既然iptables能建立一些规则来阻止攻击包,那么至少iptables中应该可以见到内核的包,另外就是有权限控制包的去留,但是要改iptables的代码也不是很好扩展。
     今天在snort的官方主页上见到有是snort-inline,以前用过snort,也见别人用过无线下的snort(wireless snort),但是这个snort绝对不同,因为可以用 它和iptables实现IPS!!! 而且它可以设置成nf_queue模式,即它分析的包都是防火墙内核中返回到用户态的,只要加这样的命令iptables -A INPUT -p icmp -j QUEUE 即可,其实这归根于Netfiler的NF_queue功能(暂时这么说吧,只是内核于用户态通信的一个机制) ,当然少不了iptables中libipq库的支持,libipq提供一些函数直接和netfilter通信。
    首先我们要下载snort-inline,它要libnet的支持以及libipq的支持,版本问题也要注意,网上有安装这个的一些解答但相对较少。
    其次我们要知道snort-inline是怎么实现于防火墙的通信的。看inline.h和inline.c
inline.h:

void InitInlinePostConfig(void);

#ifndef IPFW
void IpqLoop();
#else
void IpfwLoop();
#endif /* IPFW */

int InlineDrop(); /* call to drop current packet */
int InlineReject(Packet *); /* call to reject current packet */
int InlineAccept();
int InlineReplace();
int InlineMode();

#else
#define InlineMode(a)    (0)
#endif /* GIDS */


#endif /* __INLINE_H__ */

其实由inlilne.h可以看出来以后要DROP只需在你的头文件中包括inline.h然后调用相关的InlineDrop(); 即可。

inline.c部分代码

 

// $Id: inline.c,v 1.3 2003/02/15 21:46:14 redmaze Exp $

#ifdef GIDS
#include "inline.h"
#include "rules.h"
#include <pcap.h>
#include <string.h>
#include <stdlib.h>
#include <libnet.h>

#define PKT_BUFSIZE 65536

/* Most of the code related to libnet (resets and icmp unreach) was
 * taken from sp_respond.c */

/* vars */
int libnet_nd; /* libnet descriptor */
char errbuf[LIBNET_ERRBUF_SIZE];

Packet *tmpP;

char *l_tcp, *l_icmp;

/* predeclarations */
#ifndef IPFW
void HandlePacket(ipq_packet_msg_t *);
void TranslateToPcap(ipq_packet_msg_t *, struct pcap_pkthdr *);
#else
void HandlePacket();
void TranslateToPcap(struct pcap_pkthdr *phdr, ssize_t len);
#endif /* IPFW */
void ResetIV(void);


/**
 * InlineMode - determine if we are in inline mode
 *
 * @returns 1 if we are in inline mode, 0 otherwise
 */
int InlineMode()
{
    if (pv.inline_flag)    /*设置了inline模试flag就等于1*/
        return 1;

    return 0;
}


#ifndef IPFW
void TranslateToPcap(ipq_packet_msg_t *m, struct pcap_pkthdr *phdr)
{
    static struct timeval t;
    if</
最低0.47元/天 解锁文章
weixin_30483495
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实验:snort与单台防火墙联动
qq_34073852的博客
06-20 997
一、基础知识 二、实验步骤 1. 2. 3.
snort与单台防火墙联动实验1
08-04
1.Snort 工作原理与应用场景 2.Snort 的主体架构 3. Snort 的插件机制 4.总体流程 1. 概述 2. 实现方式和实现原理 1. 操作指导
snort与单台防火墙联动实验-A48-郭茁宁-1183710109-实验报告1
08-08
2.Snort的主体架构      Snort系统总体上是由规则集及Snort可执行程序两大部分组成 3. Snort的插件机制      1)预处理插件   
snort_inline
weixin_30588827的博客
08-27 614
snort_inline Link http://snort-inline.sourceforge.net/oldhome.html What is snort_inline? snort_inline is basically a modified version ofSnortthat accepts packets fromiptables andIPFWvia...
信息安全概论——snort与单台防火墙联动
zz13634628165的博客
06-06 1372
一、实验目的本次实验所涉及并要求掌握的知识点。通过该实验可以加深理解Snort的系统架构以及工作原理,掌握Snort与Iptables联动实现方法。 二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。服务器:snort-host(Centos6.5),IP地址: 10.1.1.12Snort版本: 2.9.7.6(最新) Guardian版本:1.7(最新)操作主机:host(WinXp), IP地址: 随机测试主机:test(WinXp),IP地址: 随机辅助工具请在实验机内下载使
snort_inline-开源
05-03
Snort_inlineSnort的修改版本。 它接受来自iptables的包,而不是libpcap。 它使用新的规则类型来告诉iptables基于Snort规则是否应该丢弃或允许数据包通过。
Snort_2_9_16_Installer.x86和x64.zip
06-30
Snort_2_9_16_Installer.x86和x64.zip,Windows下Snort2.9.16 x86和x64版本
snort_manual.rar_linux manual_snort_manual
最新发布
09-14
snort官方发布的PDF学习资料,请下载学习
snort inline-2.4.5
07-17
snort_inline-2.4.5源码 在网上很难才发现的 马上给大家共享了 防止别人收费出售
snort-inlinesnort+ntop+swatch
cnbird's blog
07-03 1803
http://snort-inline.sourceforge.net/download.htmlgd,pcre,php,mysql,adodb,jpgraph,zlib,freetypezlibhttp://www.zlib.net/zlib-1.2.3.tar.gzfreetypehttp://ftp.twaren.net/Unix/NonGNU/freetype/
Netfilter/iptables与Snort联动实现
03-12
Netfilter/iptables与Snort联动实现,李国栋,,各种安全技术之间的联动能够弥补各自的缺陷,实现优势互补,从而建立一个全方位的防御体系。联动是今后安全技术发展的一个方向。本�
Linux下集成Iptables与Snort构筑安全防护体系
05-08
Linux下集成Iptables与Snort构筑安全防护体系
防火墙与入侵检测系统联动模型的研究
12-22
论文,利用Snort+IPtable搭建IDS+IPS的组合,详细配置不多,理论比较多
ubuntu下snort inline源码安装
01-11
在ubuntu下以inline的模式安装snort实现IPS。里面包含所需要的源文件,自己试过两次都是成功的。里面sonrt_inline的版本可以根据自己的需要来换。
Snort Inline IPS Mode
weixin_30588827的博客
08-22 349
Snort Inline IPS Mode https://forum.netgate.com/topic/143812/snort-package-4-0-inline-ips-mode-introduction-and-configuration-instructions Snort Package 4.0 Inline IPS Mode Configuration IM...
基于QUEUE的snort_inline的安装
weixin_34138521的博客
09-11 163
测试环境:系统:redhat 9.0(内核为2.4.35)软件:iptables-1.3.5Snort_inline-2.6.1.5snort_inline是一个通过Snort修改而得的工具,它是把Snort透过libpcap撷取封包,改由透过iptables撷取封包,其用意主要是可以完全的监...
基于snort_inline的IPS
weixin_33769125的博客
09-11 297
系统环境:smoothwall-devel-3.0需要软件:libdnetlibpcappcrepkg-config libnfnetlink libnetfilter_queue snort_inlineSnort_inline原理:1.QUEUE在2.4内核出现了ip_queue,用于将数据包从内核空间传递到用户空间,其不足之处是只能有一个应用程序接收内核数据。到...
snort inline模式和passive模式区别
bob的博客
06-26 1050
passive mode provides a reactive protection. It can be configured to reset the attacker’s connection, IP blocking, and Ip logging but it can’t stop the initial attack from reaching the targets. The reason is because the packets it inspects have been copied
"Snort工作原理与防火墙联动实验1解析
实验目的:本次实验旨在通过使用Snort与单台防火墙联动,深入了解Snort的工作原理、主体架构和插件机制,以及实现联动的方式和原理。 实验内容:通过实验,了解Snort的工作原理和应用场景,熟悉Snort的主体架构和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值