libnids分析(4)

最新推荐文章于 2018-03-16 18:33:06 发布
最新推荐文章于 2018-03-16 18:33:06 发布
阅读量2.4k 收藏 3
点赞数
文章标签: callback prism struct user header alignment
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieqb/article/details/7676349
版权

nids初始化中最后一个函数为:scan_init();

void scan_init()
{
  struct timeval tv;

  if (nids_params.scan_num_hosts > 0) //存储口哈希表大小,默认256
  {
    gettimeofday(&tv, 0);
    time0 = tv.tv_sec;
    hashhost = (struct host **) malloc(sizeof(struct host *) * nids_params.scan_num_hosts);
    if (!hashhost)
      nids_params.no_mem("scan_init");
    memset(hashhost, 0, sizeof(struct host *) * nids_params.scan_num_hosts);
  }
}
下面来看下run函数nids_run(): 
void nids_run()
{
    if (!desc) {
	strcpy(nids_errbuf, "Libnids not initialized");
	return;
    }
    pcap_loop(desc, -1, (pcap_handler) pcap_hand, 0);
    clear_stream_buffers();
    strcpy(nids_errbuf, "loop: ");
    strncat(nids_errbuf, pcap_geterr(desc), sizeof(nids_errbuf) - 7);
    pcap_close(desc);
}

run函数调用pcap_loop()函数。此函数为libpcap中的函数,无限循环抓包,抓到的包交给回调函数处理。

回调函数处理流程如下:

static void pcap_hand(u_char * par, struct pcap_pkthdr *hdr, u_char * data)
{
    struct proc_node *i;
    u_char *data_aligned;
#ifdef DLT_IEEE802_11
    unsigned short fc;
    int linkoffset_tweaked_by_prism_code = 0;
#endif
    nids_last_pcap_header = hdr;
    (void)par; /* warnings... */
    switch (linktype) {
    case DLT_EN10MB:
	if (hdr->caplen < 14)
	    return;
	/* Only handle IP packets and 802.1Q VLAN tagged packets below. */
	if (data[12] == 8 && data[13] == 0) {
	    /* Regular ethernet */
	    linkoffset = 14;
	} else if (data[12] == 0x81 && data[13] == 0) {
	    /* Skip 802.1Q VLAN and priority information */
	    linkoffset = 18;
	} else
	    /* non-ip frame */
	    return;
	break;
#ifdef DLT_PRISM_HEADER
#ifndef DLT_IEEE802_11
#error DLT_PRISM_HEADER is defined, but DLT_IEEE802_11 is not ???
#endif
    case DLT_PRISM_HEADER:
	linkoffset = 144; //sizeof(prism2_hdr);
	linkoffset_tweaked_by_prism_code = 1;
        //now let DLT_IEEE802_11 do the rest
#endif
#ifdef DLT_IEEE802_11
    case DLT_IEEE802_11:
	/* I don't know why frame control is always little endian, but it 
	 * works for tcpdump, so who am I to complain? (wam)
	 */
	if (!linkoffset_tweaked_by_prism_code)
		linkoffset = 0;
	fc = EXTRACT_LE_16BITS(data + linkoffset);
	if (FC_TYPE(fc) != T_DATA || FC_WEP(fc)) {
	    return;
	}
	if (FC_TO_DS(fc) && FC_FROM_DS(fc)) {
	    /* a wireless distribution system packet will have another
	     * MAC addr in the frame
	     */
	    linkoffset += 30;
	} else {
	    linkoffset += 24;
	}
	if (hdr->len < linkoffset + LLC_FRAME_SIZE)
	    return;
	if (ETHERTYPE_IP !=
	    EXTRACT_16BITS(data + linkoffset + LLC_OFFSET_TO_TYPE_FIELD)) {
	    /* EAP, LEAP, and other 802.11 enhancements can be 
	     * encapsulated within a data packet too.  Look only at
	     * encapsulated IP packets (Type field of the LLC frame).
	     */
	    return;
	}
	linkoffset += LLC_FRAME_SIZE;
	break;
#endif
    default:;
    }
    if (hdr->caplen < linkoffset)
	return;

/*
* sure, memcpy costs. But many EXTRACT_{SHORT, LONG} macros cost, too. 
* Anyway, libpcap tries to ensure proper layer 3 alignment (look for
* handle->offset in pcap sources), so memcpy should not be called.
*/
#ifdef LBL_ALIGN
    if ((unsigned long) (data + linkoffset) & 0x3) {
	data_aligned = alloca(hdr->caplen - linkoffset + 4);
	data_aligned -= (unsigned long) data_aligned % 4;
	memcpy(data_aligned, data + linkoffset, hdr->caplen - linkoffset);
    } else
#endif
	data_aligned = data + linkoffset;
    for (i = ip_frag_procs; i; i = i->next)
	(i->item) (data_aligned, hdr->caplen - linkoffset);
}
对于每一个包,都调用函数gen_ip_proc()进行处理,判断其类型,以便进行重组。 
static void gen_ip_proc(u_char * data, int skblen)
{
    switch (((struct ip *) data)->ip_p) {
    case IPPROTO_TCP:
	process_tcp(data, skblen);
	break;
    case IPPROTO_UDP:
	process_udp(data);
	break;
    case IPPROTO_ICMP:
	if (nids_params.n_tcp_streams)
	    process_icmp(data);
	break;
    default:
	break;
    }
}


首先分析一下抓包函数和回调函数之间的关系

函数名称:int pcap_loop(pcap_t * p,int cnt, pcap_handler callback, uchar * user);  

函数功能:捕获数据包,不会响应pcap_open_live()函数设置的超时时间  

参数说明:p 是由pcap_open_live()返回的所打的网卡的指针;

cnt用于设置所捕获数据包的个数;

pcap_handler 是与void packet_handler()使用的一个参数,即回调函数的名称;

user值一般为NULL  

pcap_loop原型是pcap_loop(pcap_t *p,int cnt,pcap_handler callback,u_char *user)  

其中第一个参数是winpcap的句柄,第二个是指定捕获的数据包个数,如果为-1则无限循环捕获。第四个参数user是留给用户使用的。  

第三个是回调函数其原型如下:  pcap_callback(u_char* argument,const struct pcap_pkthdr* packet_header,const u_char* packet_content)  

其中参数pcap_content表示的捕获到的数据包的内容  

参数argument是从函数pcap_loop()传递过来的。注意:这里的参数就是指 pcap_loop中的 *user 参数  

参数pcap_pkthdr 表示捕获到的数据包基本信息,包括时间,长度等信息.  另

外:回调函数必须是全局函数或静态函数,其参数默认,比如pcap_loop()可以写成  

pcap_loop(pcap_handle,10,pcap_callback,NULL)不能往里面传递实参.  

-----------------------------------------------------------------------------------------------------------------  

pcap_loop和callback之间参数存在联系: 

 pcap_loop的最后一个参数user是留给用户使用的,当callback被调用的时候这个值会传递给callback的第一个参数(也叫user),

callback的最后一个参数p指向一块内存空间,这个空间中存放的就是pcap_loop抓到的数据包。

callback的第二个参数是一个结构体指针,该结构体定义如下:  

struct pcap_pkthdr

{  struct timeval ts; /* 时间戳 */  

bpf_u_int32 caplen; /* 已捕获部分的长度 */  

bpf_u_int32 len; /* 该包的脱机长度 */  

}; 

 

这个结构体是由pcap_loop自己填充的,用来取得一些关于数据包的信息  

所以,在callback函数当中只有第一个user指针是可以留给用户使用的,

如果你想给callback传递自己参数,那就只能通过pcap_loop的最后一个参数user来实现了




xieqb
关注
libNids TCP 分析
Dawnworld
06-04 1422
libNids TCP 的一些问题分析,主要关注TCP流的释放和内存的增长
DPDK抓包,libnids包还原(分片,重组)
05-02
DPDK抓包,libnids包还原(分片,重组,协议分析
Libnids开发包介绍
求索
11-17 5317
  Libnids开发包介绍 Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时,Libnids提供了TCP数据流重组功能,所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能,以及端口扫描
Libnids-win32的问题分析--libnids编译连接出错和libnids抓不到包的问题(转)
weixin_34189116的博客
09-05 229
一、Libnids问题之源 使用Libnids-win32 1.19在VC6.0环境下编程获取数据包,大部分代码都是按照《网络安全开发包详解》中的代码为例子的。但是往往编译连接出错,或者运行后Libnids抓不到包,先看程序框架: --------------------------------------------------------------------------------...
libnids 显示UDP数据报,编译,运行,正确。
weixin_30312557的博客
06-23 220
#include<stdio.h>#include<nids.h>#include<string.h>#include <sys/socket.h>#include <netinet/in.h>#include <arpa/inet.h>#include<stdlib.h>#include<neti...
《深入浅出DPDK》全书读书笔记.pdf
10-29
《深入浅出DPDK》全书读书笔记.pdf
libnids使用.zip
08-16
4. **事件处理**:通过对网络流量的分析libnids可以触发预定义的事件处理器,当检测到特定的攻击模式或异常行为时,可以及时发出警报或执行相应的防御策略。 5. **API接口**:Libnids提供了丰富的API接口,使得...
Libnids-1.19-win32-rebuid.zip
01-25
Libnids的核心是基于Ethereal(现在称为Wireshark)的NIDS引擎,它能够解析网络协议,实时分析数据包,从而发现异常和潜在的安全威胁。 屏蔽校验和的功能是一项关键的增强,它允许Libnids在检测网络流量时忽略某些...
tcp.rar_libnids
09-19
4. **数据包捕获**: 当数据包到达时,WinPcap会触发回调函数,此时可以调用Libnids对TCP流进行重组和分析。 5. **TCP流分析**: Libnids跟踪每个TCP连接的状态,识别完整的TCP会话。 6. **处理和显示**: 根据需要,...
libnids_TCP.rar_C++ TCP_build589_libnids_tcp
09-21
libnids是一个开源的网络入侵检测系统(NIDS)库,它主要用于在网络数据流中识别和分析特定的协议行为。在libnids的实现中,TCP部分是核心功能之一,它允许开发者监控和分析TCP连接。本文将深入探讨libnids中TCP部分...
BeLibnids:是一个使用多进程将dpdk和libnids结合在一起,支持10G端口分析数据包的平台
07-12
BeLibnids 分析数据包使用 libnids 和 dpdk 它是一个使用多进程将dpdk和libnids结合在一起以支持10G端口分析数据包的平台。 ##0.什么是? a:它是一个使用多进程从一个或多个端口接收和处理数据包的平台。 b:它使用RSS队列和对称散列来保证一个tcp流只被一个进程处理。 c:使用多进程解决libnids资源冲突。 d:我是在CentOS 6.4和6.5下运行的,代码你都有,当然可以改。 ###技术架构 ##1.如何编译? a:编译intel dpdk“ 可以下载或使用doc/dpdk-1.5.0r2.tar.gz。 b:cd libnids-1.24/src 并编译它直到生成一个 libnids.a(我注册 nids_syslog_return 函数而不是 nids_syslog 以提高多进程中的性能) c:cd symmetric_mp
libnids-1.25.zip
11-10
Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。
libnids 源码解读加了大量的注释
11-19
libnids 源码解读,加了大量的注释,尤其是IP,TCP重组模块
libnids分析
程序狗的成长之路
08-15 1381
典型的运用 libnids 的应用代码 下面是应用 libnids 的典型代码,节选自 libnids 自带的范例: sample/sniff.c Toggle linenumbers 1 4 void 5 sniff_callback (struct tcp_stream *a_tcp, void **this_time_not_needed) 6 7
libnids分析(8)
网络审计
06-20 1389
完成第二次握手后,需要对一些数据进行处理,代码如下: /*                 (如果有数据存在或者修列号不等于确认号的)并且         序列号在窗口之外         已经确认过的序号    */        if (     ! (!datalen &&ntohl(this_tcphdr->th_seq)== rcv-
libnids学习笔记
stSahana的博客
03-09 5269
学习资料 [1]下载包内的doc/API.html,version:1.24 [2]http://blog.csdn.net/ningxiaowei2013/article/details/53035976 简介 ​ libnids(Network Intrusion Detection System Library),网络入侵监测系统函数库。具有重组TCP数据段、处理IP分片包和...
libnids 中关于监测ddos攻击的设计
无心插柳
10-24 6947
libnids中对ddos攻击的监测主要文件在scan.c中,主要原理是在tcp处理的时候每来一个syn packet,都要调用一次detect_scan函数。根据设置的参数看是否存在ddos攻击。 算法涉及到的数据结构主要有下面两个:   9 struct scan { 10 u_int addr; 11 unsigned short port; 12 u_char
使用libnids嗅探TCP流
stSahana的博客
03-16 1085
/* Copyright (c) 1999 Rafal Wojtczuk &lt;nergal@7bulls.com&gt;. All rights reserved. See the file COPYING for license details. */ /* 在原示例代码的基础上做了修改,使得可以一次性打印一个TCP流的数据。 */ #include &lt;sys/types.h&gt;...
考研复习-英语二真题考试题集-带答案
最新发布
09-14
英语二考研真题复习资料,带答案版
dpdk libnids
07-25
4. API接口:libnids提供了一套易用的API接口,使得开发者能够方便地在他们自己的应用程序中使用libnids库的功能。这些接口包括初始化、启动、停止等操作,以及一些回调函数,用于处理检测到的入侵行为等。 总的来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值