snort 中的afpacket

最新推荐文章于 2024-07-05 13:51:59 发布
最新推荐文章于 2024-07-05 13:51:59 发布
阅读量713 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/572632/blog/294600
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介

     snort在2.9版本加入了daq,同时引入了afpacket。afpacket是linux2.6开始引入的报文获取接口。其最大的特点是打破以往复制报文传递给用户的方式,而是采用了共享内存的交互方式。并且利用环形缓冲区使用户可以无锁处理。

分析

  1. snort使用afpacket可以实现inline模式, 即IPS,不同于IDS的被动防御模式, IPS可以主动阻断。

  2. snort首先会将配置的接口两两配对,这里以ETH0和ETH1为例.

  3. 然后使用afpacket的相关接口(具体可在内核中查找关键字)为每个接口分别建立两个环形缓冲区,

    RX为输入缓冲区, TX为输出缓冲区。缓冲区是一块内核和用户共享的内存空间。

  4. 缓冲区的处理原理是循环队列,以输入缓冲区为例; 当内核发现RX有空位时就将报文放入空位中并打上可用标志,用户发现有标注可用的单元时就可以对其处理,使用完成后为该单元标注空闲标志内核又可继续利用。因为单消费者和生产者情况所以该队列能够无锁处理。

  5. 从ETH0进入的报文如红线所示,内核将报文放入RX中,snort获取该报文并进行匹配后返回通过和丢弃两种结果。如果是通过,则将该数据拷贝进ETH1的发送缓冲区TX并将在ETH0的RX中的该单元标志位空闲,否则不进行拷贝直接将ETH0的RX中的该单元标志为空闲。

 

180840_qBGA_572632.jpg

转载于:https://my.oschina.net/u/572632/blog/294600

weixin_34004576
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AF_PACKET抓包过程
bulabulabu_1的博客
01-26 531
简单、快速理解socket、PF_PACKETAF_PACKET
af_packet_利用AF_PACKET 套接字发送一个任意的以太网帧
weixin_39793189的博客
12-19 1445
目标利用AF_PACKET套接字发送一个任意的以太网帧背景以太网是一个链路层协议。大多数网络程序员关注网络栈的传输层及以上,所以不需要直接处理以太网帧,但是某些场景下关注传输层以下也是有必要的。如:1)实现网络协议栈里面没有内置的以太网协议类型2)为测试目的,产生一个畸形或者其它非常规帧应用场景假设你希望发送一个目的IP地址为192.168.0.83的ARP request报文。这个请求报文是以...
怎么做防御系统IPS
最新发布
keyboard专栏
07-05 434
通过安装和配置Snort或Suricata,并结合集日志管理和监控工具,您可以有效地实现入侵防御系统(IPS),保护系统和网络免受潜在的威胁。定期更新规则集和监控日志数据是确保IPS有效性的关键。
AF_PACKET
anzhuangguai的专栏
08-07 8651
socket的几种里面常见的2种。 ------历史------- AF_NET最早生出,后来有了AF_PACKET。 ----结束历史------- AF_NET常见。 AF_PACKET=PF_PACKET, 使用在kernel net/af_packet.c http://lxr.free-electrons.com/source/net/packet/af_p
suricata with af-packet mode
much1988的博客
05-18 1494
command line: suricata --af-packet --runmode workers af-packet:   - interface: eth0     # Number of receive threads (>1 will enable experimental flow pinned     # runmode)     threads: 1    
PACKET_MMAP实现原理分析
lionzl的专栏
07-30 1314
PACKET_MMAP实现原理分析 samonr4l | 更新时间:2011-08-11 16:56:32 | 点击数:155 自动刷新   不刷新  30秒  1分钟  3分钟  PACKET_MMAP实现的代码都在net/packet/af_packet.c,其一些宏、结构等定义在include/linux/if_packet.h。  PAC
AF_PACKET套接字工作过程(面向非开发者)
bulabulabu_1的博客
01-26 455
从非开发者的角度简要描述linux的afpacket抓包处理过程。
snort_manual.pdf
09-18
在数据包采集方面,Snort支持不同的数据包捕获方法,例如pcap、AFPACKET、NFQ、IPQ、IPFW、Dump等,并介绍如何配置这些采集方式,以及采集过程的统计信息变化。 2. 配置Snort Snort的配置内容广泛,包括了文件...
Snort 手册
07-22
此外,手册还讲解了如何获取数据包,包括pcap文件的读取、配置、以及多种网络接口的使用(如pcap、AFPACKET、NFQ、IPQ、IPFW和Dump等),以及如何使用统计信息。 在基本输出方面,手册详述了Snort产生的统计信息...
snort用户手册
07-31
此外,Snort还支持多种包捕获技术,例如pcap、AFPACKET、NFQ、IPQ、IPFW等,这些技术让Snort能够灵活地适应不同的网络环境和需求。 Snort还具有强大的包处理能力,包括读取pcap文件、命令行参数的使用、输出基本的...
snort2 user manual
01-08
Snort支持多种数据包获取方式,如libpcap库、AFPACKET、NFQ、IPQ、IPFW和Dump等。手册详细介绍了每种方式的配置和使用,以及统计信息的变化。 5. 配置和管理: 用户手册会涵盖Snort配置文件的解析,包括规则集的...
【Linux4.1.12源码分析】AF_PACKET raw socket实现原理分析
one_clouder的专栏
10-21 4534
raw socket按照检测到的报文主要可以分两类:mac报文、IP报文、传输层报文。本文分析二层报文,例如:socket(AF_PACKET, SOCK_RAW, ETH_P_ALL)方式创建的socket,可以检测到所有的二层报文。raw socket实现的核心在于,socket的建立,并注册到相应的数据,实现在收包阶段把报文提交给socket处理,例如ptype_all、ptype_bas
Snort3:使用说明(四)
魔神8号的博客
11-16 1317
通过命令行,仅能指定输出警报信息到标准输出。可通过修改配置文件,来使其输出到文件。在配置文定义了对应alert_*模块的表,即表示使能了该模式。帮助信息会显示模式的可用配置项,这些配置项可以 snort 配置文件进行配置。读取pcap文件(也可使用-i选项指定网口抓包),转存到 log 目录。按上述配置文件后,警报文件会输出到 -l 指定的目录,文件名固定为。此选项可以多次指定,以设置多个规则文件。实际验证,警报模式会影响该选项输出。实际验证,警报模式会影响该选项输出。命令行最多指定一次。
Snort总结-三种运行模式
非同╰_╯寻常
10-10 8119
Snort有三种主要模式:sniffer,packet logger,network intrusion detection system。sniffer模式只是简单地从网络上抓取数据包并在终端显示出来;packet logger模式可把数据包保存在磁盘;network intrusion detection模式是最复杂,具有高可配置性。它可使Snort根据用户定义的规则分析网络流量,并作出反应
suricata收包模式
唐装鼠的主页
06-05 554
例如,如果您在Linux系统上运行Suricata,并且想要捕获本地网络接口上的数据包,则应使用AF_PACKET模式。如果您在防火墙上运行Suricata,并且想要捕获经过防火墙的数据包,则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例,可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例,可以捕获本地网络接口上的数据包。此模式还支持混杂模式,可以捕获网络上的所有数据包,而不仅仅是发送到本地接口的数据包。
Snort入门(一)
GGGYL111的博客
01-12 1645
Snort用户手册 1 OverView Snort有三种模式 Sniffer mode (从网络上读取数据包并显示) Packet Logger mode (将数据包记录到磁盘) NIDS mode(对网络流量进行检测和分析,最复杂且可配置的模式) 简单介绍一下三种模式: 1.1 Sniffer Mode 使用以下代码 snort -v ...
AF_PACKET raw socket实现原理分析
u014044624的博客
04-09 2161
raw socket按照检测到的报文主要可以分两类:mac报文、IP报文、传输层报文。本文分析二层报文,例如:socket(AF_PACKET, SOCK_RAW, ETH_P_ALL)方式创建的socket,可以检测到所有的二层报文。raw socket实现的核心在于,socket的建立,并注册到相应的数据,实现在收包阶段把报文提交给socket处理,例如ptype_all、pty...
ubuntu下snort的安装
夕小瑶的卖萌屋
03-03 2461
1点击连接安装以下软件 点击打开链接 2.解压daq源码包,此时直接安装daq会有报错,缺少各种各样的依赖包,所以要先安装依赖包:bison、flex、libpcap(安装过程见我上一篇博文) 3.编译安装dap:  进入解压好的文件夹    ./configure 3.如果出现以下错误,点击(点击打开链接),安装pcre-8.40.tar.gz
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值