Suricata源码阅读笔记:数据包源

最新推荐文章于 2022-11-03 09:25:00 发布
最新推荐文章于 2022-11-03 09:25:00 发布
阅读量494 收藏 5
点赞数
文章标签: 网络 测试 python
原文链接:https://my.oschina.net/openadrian/blog/186010
版权
2019独角兽企业重金招聘Python工程师标准>>> ...
摘要由CSDN通过智能技术生成

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介

Suricata支持多种数据包源:pcap(实时/文件)、nfq、ipfw、mpipe、af-packet、pfring、dag(实时/文件)、napatech。

每种数据包源的支持都对应于一个线程模块(Thread Module),得益于这种其模块化的架构,增加一个新的数据源支持只需要添加一个新的线程模块即可。

这里,我将主要记录最常见的pcap实时数据源的实现细节,包括相关数据结构、运行流程,以及与主框架和其他模块的交互等。

模块注册

TmModuleReceivePcapRegister函数用于实现pcap实时数据源的线程模块的注册,该函数在系统初始化阶段由RegisterAllModules函数所调用。函数内部唯一的工作就是填充TmModule类型的结构体变量:tmm_modules[TMM_RECEIVEPCAP]。下面是各字段的填充内容:

字段 填充值 含义及用处
name "ReceivePcap" 线程名字:目前没有看到代码中有对这个变量的使用。
ThreadInit ReceivePcapThreadInit 初始化函数:在_TmSlotSetFuncAppend中被传递给其所嵌入的slot的SlotThreadInit函数,而该函数将在线程执行函数(如TmThreadsSlotVar)中被调用。
Func NULL 模块执行函数:对于数据源模块,其执行函数为下面的PktAcqLoop。
PktAcqLoop ReceivePcapLoop 数据包获取函数:在TmThreadsSlotPktAcqLoop中被调用。
ThreadExitPrintStats ReceivePcapThreadExitStats 退出打印函数:用于打印模块统计信息,同样被赋给slot对应函数,然后在线程执行函数的退出阶段被调用。
ThreadDeinit NULL 清理函数:这里设成NULL可能是个BUG,因为存在一个正好用于这个目的却没有被引用过的函数:ReceivePcapThreadDeinit,其中调用pcap_close进行了清理。
RegisterTests NULL 注册测试函数:用来注册模块内部所编写的单元测试,在单元测试模式下,运行所有测试前将调用TmModuleRegisterTests函数先注册所有线程模块的单元测试函数。
cap_flags SC_CAP_NET_RAW
最低0.47元/天 解锁文章
weixin_34221036
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
Suricata源码阅读笔记数据包队列
weixin_34199405的博客
12-26 296
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata 源码详细讲解
化茧成蝶007
08-31 1636
从main函数开始 https://my.oschina.net/openadrian/blog/184621
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 582
2019独角兽企业重金招聘Python工程师标准>>> ...
Suricata代码(一)
qianligaoshan的专栏
04-09 2979
在介绍Suricata代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
代码阅读笔记源码阅读笔记
02-03
书籍会不定期更新,目前专注于k8s原始码的阅读,输出的阅读笔记会同步至多个平台,主要有以下几个: 本书github地址: : 在线阅读: : 个人博客: : 简书: 知乎专栏: 腾讯云—云+社区: 微信公众号:田飞雨 ...
suricata-configuration:Suricata 概述和设置说明
06-14
Suricata 配置安装: 运行 install.sh 来安装 suricata: ./install.sh 默认安装模式是 IDS 模式。 如果要在 IPS 模式下安装,请运行: ./install.sh -IPS 这会在/usr/bin安装 suricata,在/etc/suricata安装配置...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
许多服务都在HTTPS上运行,但是Suricata无法分析加密的数据。 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata...
docker-suricata:Suricata Docker映像
05-07
而不是在容器内通常提供的网络接口上运行: docker run --rm -it --net=host \ --cap-add=net_admin --cap-add=sys_nice \ jasonish/suricata:latest -i <interface>但是您可能想要查看Suricata记录的内容,...
Suricata源码阅读笔记数据包解码
weixin_34352005的博客
12-20 1136
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
Suricata源码阅读笔记:StreamTCP
weixin_33978016的博客
12-27 1317
2019独角兽企业重金招聘Python工程师标准>>> ...
学习笔记-Suricata
人饭子的博客
11-03 213
Suricata 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 官网 https://suricata-ids.org/ 项目地址 https://github.com/OISF/suricata 简介 Suricata 是由 OISF(开发信息安全基金会)开发,它也是基于签名,但是集成了创新的技术。该引...
pcap文件格式及文件解析
03-26 983
pcap文件格式及文件解析 第一部分:PCAP包文件格式 一基本格式: 文件头数据包头数据报数据包头数据报...... 二、文件头: 文件头结构体 sturctpcap_file_header { DWORDmagic; DWORDversion_major; DWORD...
Suricata6一级函数
sinat_41915699的博客
06-30 419
本文主要描述了int SuricataMain(int argc, char **argv)中的主要函数及其作用,来自文件suricata.c。 SCInstanceInit(&suricata, argv[0]) suricata实例初始化,其中结构体变量用来容纳配置文件的参数和命令行参数。 InitGlobal() 初始化suricata_context的函数指针,其中rs_init(&suricata_context)调用了rust函数rs_intit,本人对rust没有研究,TOD
IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6560
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata 3.1 源码分析21 (数据包处理1)
superbfly的专栏
09-26 2073
进一步的数据包处理是在TmThreadsSlotProcessPkt中完成,其原型为: static inline TmEcode TmThreadsSlotProcessPkt(ThreadVars *tv, TmSlot *s, Packet *p) 其中,s就是前面一路传下来的slot,而p为当前要处理的Packet。/** * \brief Process the r
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 4627
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
Surciata源码分析之IpsNFQ模式(2)
Firedb的专栏
05-19 3507
2. 各模块功能分析   Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。   Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。   StreamTCP:对数据包进行TCP流重组。   Detect:检测数据包是否包含入侵行为。   Verdict:对检测后
suricata源码阅读笔记
最新发布
05-27
很高兴为您解答。Suricata是一款开网络入侵检测系统,使用C语言编写。以下是我的一些Suricata源码阅读笔记: 1. Suricata的主要模块包括:检测引擎、日志模块、协议解析器、线程管理器等。 2. Suricata使用YAML配置文件进行配置,其中包括主机、端口、规则文件等信息。 3. Suricata的规则文件使用的是Snort规则语法,可以通过修改规则文件来实现自定义检测。 4. Suricata使用libhtp进行HTTP协议解析,可以解析HTTP请求和响应的头部和主体信息。 5. Suricata使用libpcap进行数据包捕获,可以实现对网络流量进行实时分析。 6. Suricata支持多线程处理,可以通过配置文件指定线程数。 7. Suricata使用DPDK进行高性能数据包处理,可以实现每秒处理数百万个数据包。 以上是我对Suricata源码阅读的一些笔记,希望对您有所帮助。如果您有其他的问题,欢迎随时提出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值