Suricata配置文件说明2

本文接上一篇配置文件说明1，是了解suricata配置文件的第二篇。

threading

Suricata是一个多线程的程序，当它在拥有多核CPU的计算机上运行时会产生多线程以同时处理多个网络流量。在前一篇文章中介绍过suricata其实是有thread，thread-module和queue组成，而thread-module按照功能分为数据包获取、解码数据包和应用层流信息、检测、输出四种模块。

数据包获取模块是从网络流量或文件中获取数据包。
解码前面获取的数据包，如果是基于TCP协议的流则需要分三步：首先是跟踪每一条流的所有链接信息，然后使用流重组（stream-assembly）对已经完成的流进行重组，最后则是根据对应的应用层协议对其进一步分析，比如HTTP协议有专门的分析模块。
检测模块则是对上一步解码或重组的流量进行检测。检测模块可以是多线程因此它可以同时检测多个数据包或流。
输出模块则会针对配置文件中的配置，对所有的警告、事件以及需要输出的额外信息进行处理并格式化输出。

下面这个图是一种典型的运行模式表明了模块间的协作关系，1、2、3、4分别代表四种模块：

Suricata的多个线程通过下面的选项可以选择是否绑定特定的CPU核心，如果是no则不绑定，每次运行的时候每个线程对应的CPU核心可能都不是同一个，是yes则每次运行的时候指定的线程只能运行在特定的核心上。通过绑定线程和CPU核心，能够提高CPU cache的命中率，减少内存访问的损耗，提高程序的运行速度：

set-cpu-affinity: no

下面这幅图可以很清楚地解释。上面的是绑定的情况，数据包获取、解密和输出模块均在core 0这个核心上，且每个核心都有一个detect线程，但是相对来说其在core 0上的优先级比较低，只有当core 0的其他线程不工作时才会运行，这样suricata也会把较少的检测任务分配给它，而是分配给其他核心上的检测线程；但是如果是下面哪种未绑定的情况，则是由系统根据CPU每个核心的负载程度来分配每个线程运行所在的核心：

用户可以根据自己的具体情况配置线程和CPU核心的对应关系，下面是一种配置方法，management-, receive-, decode-, stream-, detect-, verdict-, reject-和outputs-set这些字段都是固定的，每个字段拥有cpu、mode和prio三个选项。cpu自然就是选择线程执行的cpu核心编号，数字从0到3或是all，[0,1]表示core 0和core 1，[1-3]表示core 1，core 2， core 3三个核心。mode可以“balance”或“exclusive”，balance表示可以在所有cpu字段定义的核心中选择最合理的核心运行，比如下面的decode-cpu-set这次可以在core 0上种运行，等下个时间片可以在core 1上运行；而exclusive则表示固定cpu核心，第一次时间片在core 0上运行，直到线程结束都不能更换核心。prio则是线程在核心中的权限高低，有low，medium和high以及default。除此之外在detect-cpu-set中还可以有threads字段直接指定检测线程的数量而不是根据CPU核心数来计算：

  cpu-affinity:
    - management-cpu-set:
        cpu: [ 0 ]  # include only these cpus in affinity settings
    - receive-cpu-set:
        cpu: [ 0 ]  # include only these cpus in affinity settings
    - decode-cpu-set:
        cpu: [ 0, 1 ]
        mode: "balanced" 
    - stream-cpu-set:
        cpu: [ "0-1" ]
    - detect-cpu-set:
        cpu: [ "all" ]
        mode: "exclusive" # run detect threads in these cpus
        # Use explicitely 3 threads and don't compute number by using
        # detect-thread-ratio variable:
        # threads: 3
        prio:
          low: [ 0 ]
          medium: [ "1-2" ]
          high: [ 3 ]
          default: "medium" 
    - verdict-cpu-set:
        cpu: [ 0 ]
        prio:
          default: "high" 
    - reject-cpu-set:
        cpu: [ 0 ]
        prio:
          default: "low" 
    - output-cpu-set:
        cpu: [ "all" ]
        prio:
           default: "medium" 

上面提到的检测线程的数量可以直接指定，也可以根据CPU核心数计算，而计算的系数就是由detect-thread-ratio来指定，默认系数是1.5，比如你的CPU是4核，那就会有6个检测线程：

detect-thread-ratio: 1.5

IP Defrag

在之前介绍suricata规则检测IP头的时候介绍过，IP协议可以对较大的数据进行分片传输，然后在目的端进行重组，suricata中就有一个叫做defragment-engine的模块对分片的IP数据包进行监视和重组然后传给后续的处理模块。配置比较简单，max-frags指出最大的分片数量，prealloc表明是否在程序启动时预分配部分空间，timeout则是超时的时间。因为在数据包监测及重组的过程中，未处理的数据包都会在内存中，如果数量太大或是长时间未进行处理就会降低性能：

defrag: 
  max-frags: 65535 
  prealloc: yes 
  timeout: 60

Flow和Stream

其实针对flow和stream的概念我也没有搞得特别清楚，在suricata中flow配置的是网络流方面的选项，而stream则专门针对TCP协议的重组进行