workers模式流程

最新推荐文章于 2024-02-02 18:07:01 发布
最新推荐文章于 2024-02-02 18:07:01 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 安全 文章标签: suricata
main:注册运行模式(添加到全局的运行模式数组runmodes中)
RunModeRegisterRunModes();
--------------------------
RunModeIdsPcapRegister();
{
    RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "workers",
                              "Workers pcap live mode, each thread does all"
                              " tasks from acquisition to logging",
                              RunModeIdsPcapWorkers);
}
--------------------------
void RunModeRegisterNewRunMode(int runmode, const char *name,
                               const char *description,
                               int (*RunModeFunc)(DetectEngineCtx *))
{
    // 添加到全局的runmodes中
    RunMode *mode = &runmodes[runmode].runmodes[runmodes[runmode].no_of_runmodes];
    runmodes[runmode].no_of_runmodes++;
    mode->runmode = runmode;
    mode->name = SCStrdup(name);
    mode->description = SCStrdup(description);
    mode->RunModeFunc = RunModeFunc;  // 执行函数:RunModeIdsPcapWorkers
}
====================================
main:注册模块(添加到全局的模块数组tmm_modules中)
    TmModuleReceivePcapRegister();
    TmModuleDecodePcapRegister();
    TmModuleStreamTcpRegister();
   
    TmModuleDetectRegister();
   
    TmModuleRespondRejectRegister();
--------------------------------
// 添加到全局的模块数组中
void TmModuleReceivePcapRegister (void) 
{
  tmm_modules[TMM_RECEIVEPCAP].name = "ReceivePcap";
  tmm_modules[TMM_RECEIVEPCAP].ThreadInit = ReceivePcapThreadInit;
  tmm_modules[TMM_RECEIVEPCAP].Func = NULL;
  tmm_modules[TMM_RECEIVEPCAP].PktAcqLoop = ReceivePcapLoop;
  tmm_modules[TMM_RECEIVEPCAP].ThreadExitPrintStats = ReceivePcapThreadExitStats;
  tmm_modules[TMM_RECEIVEPCAP].ThreadDeinit = NULL;
  tmm_modules[TMM_RECEIVEPCAP].RegisterTests = NULL;
  tmm_modules[TMM_RECEIVEPCAP].cap_flags = SC_CAP_NET_RAW;
  tmm_modules[TMM_RECEIVEPCAP].flags = TM_FLAG_RECEIVE_TM;
}
======================================
main:运行模式调度
RunModeDispatch(run_mode, runmode_custom_mode, de_ctx);
{
   mode->RunModeFunc(de_ctx); // workers模式调度RunModeIdsPcapWorkers函数
}
----------------------------------------------------
int RunModeIdsPcapWorkers(DetectEngineCtx *de_ctx)
{
   int ret;
   char *live_dev = NULL;
   SCEnter();

   RunModeInitialize();
   TimeModeSetLive();

   (void) ConfGet("pcap.single-pcap-dev", &live_dev);

   ret = RunModeSetLiveCaptureWorkers(de_ctx,
                                    ParsePcapConfig,
                                    PcapConfigGeThreadsCount,
                                    "ReceivePcap",
                                    "DecodePcap", "RxPcap",
                                     live_dev);
--------------
typedef定义函数指针类型:
typedef void *(*ConfigIfaceParserFunc) (const char *);
typedef void *(*ConfigIPSParserFunc) (int);
typedef int (*ConfigIfaceThreadsCountFunc) (void *);
--------------
int RunModeSetLiveCaptureWorkers(DetectEngineCtx *de_ctx,
       ConfigIfaceParserFunc ConfigParser,
       ConfigIfaceThreadsCountFunc ModThreadsCount,
       char *recv_mod_name,
       char *decode_mod_name, char *thread_name,
       const char *live_dev)
{
    live_dev_c = LiveGetDeviceName(ldev); // liev_dev_c = 'eth0'
    aconf = ConfigParser(live_dev_c);
 
    RunModeSetLiveCaptureWorkersForDevice( de_ctx,
                                           ModThreadsCount,
                                           recv_mod_name,
                                           decode_mod_name,
                                           thread_name,
                                           live_dev_c,
                                           aconf,
                                           0);
}
--------------
static int RunModeSetLiveCaptureWorkersForDevice(DetectEngineCtx *de_ctx,
                              ConfigIfaceThreadsCountFunc ModThreadsCount,
                              char *recv_mod_name,
                              char *decode_mod_name, char *thread_name,
                              const char *live_dev, void *aconf,
                              unsigned char single_mode)
{
    n_thread_name = 'RxPcapeth01'
    // 创建tv实例
    tv = TmThreadCreatePacketHandler(n_thread_name,
                                     "packetpool", "packetpool",
                                     "packetpool", "packetpool",
                                     "pktacqloop");
   回到这里继续:
   创建tv实例,设置出入队列,设置tv->tm_func函数
 
   // 收包模块插入槽
   tm_module = TmModuleGetByName(recv_mod_name);
   TmSlotSetFuncAppend(tv, tm_module, aconf);
   // 解码模块插入槽
   tm_module = TmModuleGetByName(decode_mod_name);
   TmSlotSetFuncAppend(tv, tm_module, NULL);
   // tcp流管理模块插入槽
   tm_module = TmModuleGetByName("StreamTcp");
   TmSlotSetFuncAppend(tv, tm_module, NULL);
   // 检测模块插入槽(延迟作用是什么?)
   tm_module = TmModuleGetByName("Detect");
   TmSlotSetFuncAppendDelayed(tv, tm_module,
   (void *)de_ctx, de_ctx->delayed_detect);
   // 回应拒绝模块插入槽(啥意思?)
   tm_module = TmModuleGetByName("RespondReject");
   TmSlotSetFuncAppend(tv, tm_module, NULL);
 
   // 真正创建线程
   TmThreadSpawn(tv);
}
--------------------
模块插入槽函数:
static inline TmSlot * _TmSlotSetFuncAppend(ThreadVars *tv, TmModule *tm, void *data)
{
   TmSlot *slot = SCMalloc(sizeof(TmSlot));
   SC_ATOMIC_INIT(slot->slot_data);
   slot->tv = tv;
   slot->SlotThreadInit = tm->ThreadInit;
   slot->slot_initdata = data;
   SC_ATOMIC_INIT(slot->SlotFunc);
   (void)SC_ATOMIC_SET(slot->SlotFunc, tm->Func);
   slot->PktAcqLoop = tm->PktAcqLoop;
   slot->SlotThreadExitPrintStats = tm->ThreadExitPrintStats;
   slot->SlotThreadDeinit = tm->ThreadDeinit;
   slot->tm_id = TmModuleGetIDForTM(tm);

   tv->cap_flags |= tm->cap_flags;

   if (tv->tm_slots == NULL) {
      tv->tm_slots = slot;
      slot->id = 0;
   } else {
      TmSlot *a = (TmSlot *)tv->tm_slots, *b = NULL;

   for ( ; a != NULL; a = a->slot_next) {
     b = a;
   }
   if (b != NULL) {
     b->slot_next = slot;
     slot->id = b->id + 1;
   }
  }

return slot;
}
---------------------
ThreadVars *TmThreadCreatePacketHandler(char *name, char *inq_name,
                                        char *inqh_name, char *outq_name,
                                        char *outqh_name, char *slots)
{
   ThreadVars* tv = TmThreadCreate(name, inq_name, inqh_name, outq_name, outqh_name,
                                   slots, NULL, 0);
    returnt tv;
}
-------------
参数:name是tv实例的名称
 inq_name是入队列名称
 inqh_name是入队列处理名称(set by TmqhSetup())
 outq_name是出队列名称
 outqh_name是出队列处理名称(set by TmqhSetup())
 slots是描述槽的作用
 
ThreadVars *TmThreadCreate(char *name, char *inq_name, char *inqh_name,
                         char *outq_name, char *outqh_name, char *slots,
                          void * (*fn_p)(void *), int mucond)
{
   ThreadVars *tv = NULL;
   tv = SCMalloc(sizeof(ThreadVars));
   tv->name = name;
   // 设置入队列
   Tmq *tmq = NULL;
   tmq = TmqGetQueueByName(inq_name);
   tv->inq = tmq;
   Tmqh *tmqh = NULL;
   tmqh = TmqhGetQueueHandlerByName(inqh_name);
   tv->tmqh_in = tmqh->InHandler;
   tv->InShutdownHandler = tmqh->InShutdownHandler;
   // 设置出队列
   tmqh = TmqhGetQueueHandlerByName(outqh_name);
   tv->tmqh_out = tmqh->OutHandler;
   tv->outqh_name = tmqh->name;
   // 设置槽函数
   TmThreadSetSlots(tv, slots, fn_p)
}
-------------
TmEcode TmThreadSetSlots(ThreadVars *tv, char *name, void *(*fn_p)(void *))
{
   // 这几个槽的名称区别
   if (strcmp(name, "1slot") == 0) {
      tv->tm_func = TmThreadsSlot1;
   } else if (strcmp(name, "1slot_noout") == 0) {
      tv->tm_func = TmThreadsSlot1NoOut;
   } else if (strcmp(name, "1slot_noin") == 0) {
      tv->tm_func = TmThreadsSlot1NoIn;
   } else if (strcmp(name, "1slot_noinout") == 0) {
      tv->tm_func = TmThreadsSlot1NoInOut;
   } else if (strcmp(name, "varslot") == 0) {
      tv->tm_func = TmThreadsSlotVar;
   } else if (strcmp(name, "pktacqloop") == 0) {  // 走到这里
      tv->tm_func = TmThreadsSlotPktAcqLoop;
   } else if (strcmp(name, "custom") == 0) {
      if (fn_p == NULL)
      goto error;
      tv->tm_func = fn_p;
   } else {
      printf("Error: Slot "%s" not supported\n", name);
      goto error;
  }
}
------------
回到RunModeSetLiveCaptureWorkersForDevice函数
------------
真正创建线程:
TmEcode TmThreadSpawn(ThreadVars *tv)
{
   // 创建线程,调用tv->tm_func函数: TmThreadsSlotPktAcqLoop
   pthread_create(&tv->t, &attr, tv->tm_func, (void *)tv);
}
==================================================
void *TmThreadsSlotPktAcqLoop(void *td)
{
   ThreadVars *tv = (ThreadVars *)td;
   TmSlot *s = tv->tm_slots;    // slot链表头
   // 设置线程名称
   SCSetThreadName(tv->name);
   // 循环slot初始化
   for (slot = s; slot != NULL; slot = slot->slot_next)
   
      // slot中模块初始化Recive->Decode->StreamTcp->Detect->Alert ……
      r = slot->SlotThreadInit(tv, slot->slot_initdata, &slot_data);
   }
   // 真正循环slot
   while(run) 
   {   
      // 收包,执行 ReceivePcapLoop 函数,在注册模块时设置的
      r = s->PktAcqLoop(tv, SC_ATOMIC_GET(s->slot_data), s);
   }
   // 销毁函数执行
   for (slot = s; slot != NULL; slot = slot->slot_next)
   {
      slot->SlotThreadExitPrintStats(tv, SC_ATOMIC_GET(slot->slot_data));
      r = slot->SlotThreadDeinit(tv, SC_ATOMIC_GET(slot->slot_data));
   }
}
===============================
// data是初始化阶段生成的PcapThreadVars结构体
TmEcode ReceivePcapLoop(ThreadVars *tv, void *data, void *slot)
{
   PcapThreadVars *ptv = (PcapThreadVars *)data;
   TmSlot *s = (TmSlot *)slot;
   ptv->slot = s->slot_next;// 第2个slot即Decode模块
 
   while (1) 
   {   // 收包,每次收取一个数据包
      r = pcap_dispatch(ptv->pcap_handle, (int)packet_q_len,
      (pcap_handler)PcapCallbackLoop, (u_char *)ptv);
   }
}

// 收包后回调函数
// 参数: user是ptv结构指针,h是pcap文件头,pkt是真正数据
void PcapCallbackLoop(char *user, struct pcap_pkthdr *h, u_char *pkt)
{
    // 首先从packet pool中获取,如果失败。调用PacketGetFromAlloc新分配一个
    // 注:与pool中取出的数据包最终可以回收不同,这种使用malloc动态分配的数据包最后需要free.
    // 因此为了区分会在其flags中打上标记PKT_ALLOC。
    Packet *p = PacketGetFromQueueOrAlloc();
  
    // 数据包在callback中会送入outq中等待后续线程继续处理
    // 调用TmThreadsSlotProcessPkt让本线程中包含的其他slot中的模块对数据包进行后续处理
     TmThreadsSlotProcessPkt(ptv->tv, ptv->slot, p);
}
 
// 真正循环slot中模块执行函数
 static inline TmEcode TmThreadsSlotProcessPkt(ThreadVars *tv, TmSlot *s, Packet *p)
 {
      TmThreadsSlotVarRun(tv, p, s);
  
      // 线程创建时设置为与该线程绑定的outqh的处理函数OutHandler,
      // 在这里默认为TmqhOutputFlowActivePackets,将数据包送到后续队列中去
      tv->tmqh_out(tv, p);
  
      // 注: slot_pre_pq vs. slot_post_pq:
      // 某个slot在处理某个母数据包时新产生的子数据包,
      // 若放入slot_pre_pq中,则这个数据包将在本个slot处理完母数据包后,
      // 在后续slot处理母数据包之前,先将这些子数据包放到后续的slot去处理;
      // 而如果是放如slot_post_pq,则需要等到母数据包被所有slot都处理完后,
      // 在下一个数据包处理之前,再去集中处理,如上面所述。
 
      处理slot->slot_post_pq队列
}
 
TmEcode TmThreadsSlotVarRun(ThreadVars *tv, Packet *p, TmSlot *slot)
{
    循环调用Slot->SlotFun函数。
    Decode->StreamTcp->Detect->RespondRejectFunc->AlertFastLog-> ……
 
    处理 slot_pre_pq队列数据。
}
wsk004321
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Surciata源码分析之IpsNFQ模式(2)
Firedb的专栏
05-19 3481
2. 各模块功能分析   Receive:从NFQUEUE中接收数据包,并将封装在Packet结构中,然后放入下一个缓冲区。   Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。   StreamTCP:对数据包进行TCP流重组。   Detect:检测数据包是否包含入侵行为。   Verdict:对检测后
Suricata之源代码(一)
qianligaoshan的专栏
04-09 2962
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
suricata学习--结构及代码解读
程序狗的成长之路
07-17 6316
《线程、槽和模块之间的关系》 suricata中tv、slot和tm的关系必须要搞清楚,汇总如下: tv:ThreadVars类型,线程。 slot:TmSlot类型,槽。 tm:TmModule类型,模块。 下面必须要结合三者的定义,阅读代码的时候也关注下三者关系。 ----------------------------------------
Suricata的所有运行方式模式(图文详解)
weixin_33850890的博客
08-09 3085
      不多说,直接上干货!     suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列...
suricata构成-线程分布-功能讲解
qq_41167620的博客
02-02 824
根据提供的接口完成woker线程的启动,这个接口里面的循环次数取决于yaml配置文件af-packet项内有几个接口。// 运行提供的启动接口,对于af-packet worker启动接口为 RunModeIdsAFPWorkers。// 提供接口对应项配置解析器(af-packet),提供获取线程数量的回调接口。传入线程数量获取接口,收包,解码,线程名称,接口名称,接口对应配置信息。// 接口完成主线程的创建,并将线程交给主线程的tv_root。//接口实现,激活收包流程,处理数据包。
suricata 源码分析之ringbuffer(环形缓冲区)
guoguangwu的专栏
03-19 1482
环形缓冲区也就是ringbuffer,其性能相对于异步队列是非常高效的,原因 : 1)无锁; 2)cpu cache 友好;3) 内存不会疯涨。 当然ringbuffer也有其缺点(也是优点, 不会出现内存暴增),就是其长度是固定的,如果满了无法再往里面放入数据,而异步队列没有这个限制,但是有可能因为并发不够,处理不过来,队列太长导致内存被大量占用,程序性能越来越差。 ...
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4338
suricata 各个线程的作用 -- 主线程
suricata中DPDK收发包源码分析1
每天分享一个编程小知识
05-14 514
2)source-dpdk.c在RegisterAllModules()函数中调用TmModuleReceiveDPDKRegister()和TmModuleDecodeDPDKRegister()来注册DPDK对应的收包和解码两个module,大部分代码是对这两个module提供的API函数的实现,包括收包前的初始化和收取报文,解码前的初始化和报文解码。好了,关于suricata中DPDK收发包的初始化以及框架代码的分析就到这里了。
suricata UT之SigTableSetup中关键字的功能函数解析一
村中少年的专栏
05-08 1462
介绍SigTableSetup中二进制协议字段,例如ACK,SEQ等关键字的解析,执行过程,分析了规则加载,引擎检测的主要结构
workers
03-31
自述文件该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本系统依赖配置数据库创建数据库初始化如何运行测试套件服务(作业队列,缓存服务器,搜索引擎等) 部署说明...
workers:Cloudflare工人
04-28
English |Cloudflare工人2020-12-11 Cloudflare禁止zme.ink :red_heart: 科尔斯支持跨域请求将HTTP转换为HTTPS界面Host/{URL} https://cors.eu.org/{URL}演示版 // Copy to the console and runvar $url = ...
解决pytorch DataLoader num_workers出现的问题
09-18
今天小编就为大家分享一篇解决pytorch DataLoader num_workers出现的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
bridge-workers
05-05
主机上的两个文件.aws/credentials和.bridge/workers.conf与worker容器共享。 确保.aws/credentials的默认AWS凭证配置文件具有正确的凭证。 确保.bridge/workers.conf具有bridge.user条目并将其设置为您的用户名...
开源IDS suricata源码分析(worker模式工作线程初始化及处理流程
m0_50638175的博客
11-27 1257
这里写自定义目录标题开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)初始化及处理流程接口调用 开源IDS suricata源码分析(worker模式工作线程初始化及处理流程) 本文主要分析suricataworker工作模式下,工作线程的初始化及工作线程的处理流程。 初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
suricata 3.1 源码分析29 (数据包队列)
superbfly的专栏
10-12 3018
这块的东西我现在还没有用到,所以很不厚道的抄了背着笔记本流浪的原文下来。简介Suricata中使用队列来缓存数据包,包括缓存线程模块内部新产生数据包的线程内队列,以及线程之间用来传递数据包的线程间队列。 用于表示数据包队列的结构体为PacketQueue,其定义如下(省略了调试相关字段): typedef struct PacketQueue_ { Packet top; / 头指针
suricata 3.0,日志模块初始化流程
ljq32的专栏
01-06 1601
typedef struct RunModeOutput_ { const char *name; TmModule *tm_module; OutputCtx *output_ctx; TAILQ_ENTRY(RunModeOutput_) entries; } RunModeOutput; TAILQ_HEAD(, RunModeOutput_) RunModeOutputs = TAILQ_HEAD_INITIALIZER(RunModeOutputs); ...
suricata6 workers 流程
唐装鼠的主页
06-07 647
suricata6 数据包处理流程
suricata 3.1 源码分析19 (数据包获取)
superbfly的专栏
09-22 2776
初始化完成后,TmThreadsSlotPktAcqLoop函数将进入一个while循环,调用slot的PktAcqLoop函数获取并处理数据包。对应的模块函数原型为: TmEcode ReceivePcapLoop(ThreadVars *tv, void *data, void *slot) 其中,data即为初始化阶段生成的PcapThreadVars结构体,而slot就是
labview workers
最新发布
02-10
LabVIEW Workers是LabVIEW中的一种并行编程模式,用于实现多线程处理和并行计算。它可以帮助提高程序的性能和响应速度。 在LabVIEW中,Worker是一个独立的执行单元,可以同时执行多个任务。每个Worker都有自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值