libnids分析(6)

最新推荐文章于 2021-05-16 21:50:11 发布
最新推荐文章于 2021-05-16 21:50:11 发布
阅读量1.8k 收藏
点赞数
文章标签: tcp stream struct table
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xieqb/article/details/7677579
版权

查找是否存在tcp流

struct tcp_stream *
find_stream(struct tcphdr * this_tcphdr, struct ip * this_iphdr,
	    int *from_client)
{
  struct tuple4 this_addr, reversed;
  int hash_index;
  struct tcp_stream *a_tcp;

  this_addr.source = ntohs(this_tcphdr->th_sport);
  this_addr.dest = ntohs(this_tcphdr->th_dport);
  this_addr.saddr = this_iphdr->ip_src.s_addr;
  this_addr.daddr = this_iphdr->ip_dst.s_addr;
  hash_index = mk_hash_index(this_addr);//找到传入数据的哈希地址
  for (a_tcp = tcp_stream_table[hash_index];
       a_tcp && !b_comp(a_tcp->addr, this_addr);    
       a_tcp = a_tcp->next_node);//如果此地址开始即为空,则表明没有与此包对应的TCP流,如果该地址不为空,则看地址值是否一样,如果
         //找到,设定from_client = 1,否则,一直找到最后。看是否为同一个TCP流主要看其地址是否一样 
  if (a_tcp) {
    *from_client = 1;
    return a_tcp;
  }
  reversed.source = ntohs(this_tcphdr->th_dport);
  reversed.dest = ntohs(this_tcphdr->th_sport);
  reversed.saddr = this_iphdr->ip_dst.s_addr;
  reversed.daddr = this_iphdr->ip_src.s_addr;
  hash_index = mk_hash_index(reversed);
  for (a_tcp = tcp_stream_table[hash_index];
       a_tcp && !b_comp(a_tcp->addr, reversed);
       a_tcp = a_tcp->next_node);
  if (a_tcp) {
    *from_client = 0;
    return a_tcp;
  }
  else
    return 0;
}
当没有找到一个与之对应已存在的TCP流是,添加一个新的TCP流。调用函数:add_new_tcp(this_tcphdr, this_iphdr); 

static void
add_new_tcp(struct tcphdr * this_tcphdr, struct ip * this_iphdr)
{
  struct tcp_stream *tolink;
  struct tcp_stream *a_tcp;
  int hash_index;
  struct tuple4 addr;
  
  addr.source = ntohs(this_tcphdr->th_sport);
  addr.dest = ntohs(this_tcphdr->th_dport);
  addr.saddr = this_iphdr->ip_src.s_addr;
  addr.daddr = this_iphdr->ip_dst.s_addr;
  hash_index = mk_hash_index(addr);//计算新的TCP流的哈希地址
  
  if (tcp_num > max_stream) {//tcp流的大小超过了阈值,需要先释放空间
    struct lurker_node *i;
    
    tcp_oldest->nids_state = NIDS_TIMED_OUT;
    for (i = tcp_oldest->listeners; i; i = i->next)
      (i->item) (tcp_oldest, &i->data);
    free_tcp(tcp_oldest);
    nids_params.syslog(NIDS_WARN_TCP, NIDS_WARN_TCP_TOOMUCH, ugly_iphdr, this_tcphdr);
  }
  a_tcp = free_streams;加入流的地址
  if (!a_tcp) {
    fprintf(stderr, "gdb me ...\n");
    pause();
  }
  free_streams = a_tcp->next_free;
  
  tcp_num++;//流的总数加1
  tolink = tcp_stream_table[hash_index];
  memset(a_tcp, 0, sizeof(struct tcp_stream));
  a_tcp->hash_index = hash_index;
  a_tcp->addr = addr;
  a_tcp->client.state = TCP_SYN_SENT;
  a_tcp->client.seq = ntohl(this_tcphdr->th_seq) + 1;
  a_tcp->client.first_data_seq = a_tcp->client.seq;
  a_tcp->client.window = ntohs(this_tcphdr->th_win);
  a_tcp->client.ts_on = get_ts(this_tcphdr, &a_tcp->client.curr_ts);
  a_tcp->client.wscale_on = get_wscale(this_tcphdr, &a_tcp->client.wscale);
  a_tcp->server.state = TCP_CLOSE;
  a_tcp->next_node = tolink;
  a_tcp->prev_node = 0;
  if (tolink)
    tolink->prev_node = a_tcp;
  tcp_stream_table[hash_index] = a_tcp;
  a_tcp->next_time = tcp_latest;
  a_tcp->prev_time = 0;
  if (!tcp_oldest)
    tcp_oldest = a_tcp;
  if (tcp_latest)
    tcp_latest->prev_time = a_tcp;
  tcp_latest = a_tcp;
}




xieqb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
libnids 源码解读加了大量的注释
11-19
libnids 源码解读,加了大量的注释,尤其是IP,TCP重组模块
libnids使用.zip
08-16
Libnids,全称Network Intrusion Detection System,是一个开源的、基于事件的网络入侵检测系统,主要用于分析网络流量并识别潜在的攻击行为。它基于著名的pcap库,能够捕获和解析网络数据包,提供了一种有效的方法...
libnidsTCP/IP栈实现细节分析(下)——IP分片重组
网络审计
06-15 1486
好了,有时间了,来看看libnids中IP分片重组的方法吧。 在此之前,如果不懂IP分片技术的话,请参照这里。IP分片技术比较简单暴力,没有TCP那样复杂复杂的窗口协议。基本上只是暴力的拆分和重组,代码基本在ip_defragment.c中。 先从总体上说说。首先,每个IP(主机)都会有IP分片包(注意是IP,不是IP对)。所以,每个IP都有一个如下的结构体来维护上面的所以IP分片:
libnids 分析笔记
qinggebuyao的专栏
06-27 6810
一、当日工作(或学习)内容及进展情况(以条目式陈述,必要时配图说明) Libnids读书笔记: Libnids(Library Network Intusion Detection System)网络入侵检测开发包,基于libpcap和libnet开发,是仿照linux内核中的TCP/IP协议部分而实现的。   libnids主要功能包括捕获网络数据包、IP碎片重组、TCP数据流重组以及端
libnids分析(7)
网络审计
06-20 1550
下面来看TCP重组过程当中的三次握手: 第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。 第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_REC
libnids分析
程序狗的成长之路
08-15 1334
典型的运用 libnids 的应用代码 下面是应用 libnids 的典型代码,节选自 libnids 自带的范例: sample/sniff.c Toggle linenumbers 1 4 void 5 sniff_callback (struct tcp_stream *a_tcp, void **this_time_not_needed) 6 7
tcp.rar_libnids
09-19
这个压缩包可能包含了一个名为“tcp.c”的源代码文件,该文件可能是用于演示如何利用WinPcap和Libnids来捕获并分析TCP数据包。 **TCP(传输控制协议)** TCP是Internet协议套件中的一个核心协议,负责在两个通信...
libnids.zip
08-01
libnids作为其组成部分,提供了底层的数据包捕获和分析功能。 **1. libnids库介绍** libnids由Evan Kohlmann开发,是基于libpcap(一个用于捕获和分析网络包的库)构建的。它的主要功能包括: - **数据包捕获**:...
tcp.zip_libnids 源码
09-23
在“tcp.zip_libnids 源码”中,通过分析“testtcp.cpp”,我们可以深入了解libnids如何工作,以及如何利用它来实现TCP连接的分析和重组。这对于任何想要涉足网络编程和安全领域的开发者来说,都是一份宝贵的资源。
Libnids入门
02-15
Libnids的核心价值在于简化了网络监控与安全分析的复杂度,使得开发者能够更专注于入侵检测算法的设计与优化,而不是底层网络协议的解析。 #### 二、Libnids安装步骤 在Linux环境下,安装Libnids前需确保已安装...
libnids源码注释
11-19
我两周多的劳动,对整个源码进行了注释,对使用者应该有所帮助
libnids-libpcap-libnet库源码合辑
01-22
这是libnids-libpcap-libnet3个库的源代码,希望学习网络编程的朋友可以安装此包进行开发
注释分析都非常详细的c++ 源代码 基础篇
09-04
这些程序是我自己一个一个写的,现拿出来让和我一样的初学者分享一下,用的是dev C++ 编译,里面包括详细的分析过程和代码注释,有两个文件,一个是c++/c 基础的,另一个是基础提高篇,我相信对初学者是有很大的帮助的! 同时里面有运行的图片,下载的同学可以先看题目,然后在自己去做,在和我比较一下思路,我写的不是很好的地方还望赐教
libnids分析(10)
网络审计
04-06 1735
添加数据处理过程static void add_from_skb(struct tcp_stream * a_tcp, struct half_stream * rcv, struct half_stream * snd, u_char *data, int datalen, u_int this_seq, char fin, char urg, u_int u
libnids-1.24 使用源码问题
weixin_30791095的博客
01-19 302
从网上下载libnids-1.24源码包,解压后./configure安装。 会出现提示 checking for GLIB... configure: error: Package requirements (glib-2.0 >= 2.2.0) were not met.Consider adjusting the PKG_CONFIG_PATH environment variab...
libnet 库源代码分析
宇文寒涛的专栏
01-28 1231
libnet是一个开源的网络编程库,允许用户根据需要构造各种不同类型的数据报文,并发送到网络上。在传统的socket编程中,程序员的主要目标是通过TCP或UDP协议进行网络连接和通信,只需要提供数据报文需要承载的内容即可,报文本身的构造是由网络协议栈来控制的。程序员很少会需要自己控制TCP或UDP报文的格式。但是在特定的需求中,有时确实需要自己来构造特定的网络报文,包括控制发送和接收方的IP地址端
教你使用Libnids开发包做-协议分析、网络嗅探!
chen1415886044的博客
05-16 3315
Libnids是基于Libpcap和Libnet而开发的,是一个用于网络入侵检测开发的专业编程接口,利用Libndis可以构建网络入侵检测系统。 Libnids有哪些功能 分析源码会发现,Libnids的主要功能包括捕获网络数据包,IP碎片重组、TCP数据流重组以及端口扫描攻击检测、异常数据包检测等等。 这里要说一下,Libnids是基于libpcap来捕获数据包,可以设定过滤规则。对于IP碎片重组,Libnids是参考Linux内核中的IP重组而实现的。 LibnidsTCP数据流重组功能,这在一些开发
libnids分析(1)
网络审计
06-19 3163
nids首先初始化: int nids_init() { if (nids_params.filename) { if ((desc = pcap_open_offline(nids_params.filename, nids_errbuf)) == NULL) return 0; } else if (!open_live()) return
libnidstcp流重组代码
wzb56的资料库
03-06 3191
void  process_tcp(u_char * data, int skblen)  {       struct ip *this_iphdr = (struct ip *)data;    /*tcphdr 的头*/    struct tcphdr *this_tcphdr = (struct tcphdr *)(data + 4 * this_ip
dpdk libnids
最新发布
07-25
通过与DPDK的其他功能和API结合使用,libnids可以实现对高速网络流量的实时监测和分析,提供快速准确的入侵检测能力。同时,由于DPDK的性能优势,libnids能够处理大规模高负载的网络环境,将安全性和性能发挥到极致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值