suricata 编译成动态库使用

已于 2022-02-17 22:42:42 修改
阅读量2k 收藏 5
点赞数 4
分类专栏: suricata 文章标签: 网络安全 suricata
于 2021-12-15 18:10:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/121951351
版权

项目中需求使用suricata 检测功能,只需要获取检测得到的 alert 结果, 需要将suricata的检测功能集成到我们的项目中,并提供接口动态加载规则。 源代码版本 6.0.4

源码 将suricata编译成动态库,使用suricata检测功能,只需要获取检测得到的alert。

目录

前提

接口

编译成动态库

初始化部分 suricataLibInit

初始化公共部分

RunModeLibraryRegister

 TmModuleDecodeLibraryRegister  注册DecodeLibrary 的解析函数

初始化自有线程部分

检测接口 suricataLibProcessPacket

动态加载规则

前提

1、将 suricata 编译成动态库(以下简称为 libsuri_603.so),供我们的项目调用。

2、我们的项目已自己采集网卡数据,程序将调用 libsuri_603.so,将采集到的数据传入。

3、项目中调用的 libsuri_603.so 的也是一个动态库,并且只能在子线程(子线程名字为 Process 线程,和suricata中的worker线程一一对应)中,所有 libsuri_603.so 中的接口全部都在子线程中调用。

4、至少提供四个接口,分别为初始化,检测数据传入,动态规则加载接口,Destroy。

5、增加一个run_mode 为 RUNMODE_LIBRARY,在初始化中直接复制suricata.run_mode = RUNMODE_LIBRARY;

6、增加了三个文件分别为 libsuricata.h(接口头文件), source-library.c(主要负责调用工作线程),runmode-library.c(主要负责worker线程的处理化)

接口

/* libsuricata.h */

//动态加载规则结束的回调
typedef void (*ReloadRuleRet)(int);

/** \internal
 *  \brief 初始化,每个 Process  线程都会调用这个 函数,但是只有其中一个线程取初始化suricata
 *  全局使用的数据,比如诸多回调函数的注册,管理线程的创建,规则文件的加载,检测引擎的加载。
 *  待全局数据初始完成后才会在每个 Process 线程中初始 worker线程独有的数据,
 *  注册工作流程的回调函数,初始化工作线程变量和存放数据包的内存池。
 *  \param yamlFilePath suricata.yaml配置文件的路径
 *  \param ips_ids 0:ips or 1:ids, 没有用到阻断功能,ips只是用以逐包检测
 *  \param retFunc 动态加载规则结果的回调函数
 */

int suricataLibInit(const char* yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc);

/** \internal
 *  \brief worker 我们项目会处理含有gtp层的码流,suricata不能解析这个,
 *  故这里会把含有gtp层的数据直接从内层ip开始,ipType=4 or 6; 
 *  不含gtp的从Ethernet开始,ipType=0
 *  \param pkt 一条码流包
 *  \param caplen 长度
 *  \param ipType 详见brief 
 *  \param lcapTime 包时间
 *  \param outAlerts 传入alert,同步数据结构,事实上ids是逐流检测的,出结果可能会晚一些
 *                   我们程序希望使用ips逐包检测,这样,出的检测结果即是当前传入的包触发的
 */

int suricataLibProcessPacket(const uint8_t* pkt, int caplen, uint8_t ipType
    , const struct timeval* lcapTime, PacketOutAlerts* outAlerts);

/** \internal
 *  \brief 动态加载规则 加载规则比较耗时,在此只是创建一个子线程,在子线程中加载规则
 */
int suricataLibDynamicUpdateRules(void);

/** \internal
 *  \brief 释放资源
 */
void suricataLibGlobalsDestroy(void);

编译成动态库

修改 src/Makefile.am 文件 ,将suricata编译成名字为 libsuri_603.so 的动态库

初始化部分 suricataLibInit


int suricataLibInit(const char *yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc)
{
    //先初始化公共部分,保证只有一个线程初始化
    int retCode = suricataLibraryPublicInit(yamlFilePath, ips_ids, retFunc);
    if (0 != retCode)
    {
        return retCode;
    }
    // 公共部分初始完成后再初始化自有线程的数据
    return suricataLibrarayThreadInit();
}

初始化公共部分

//初始化suricata 公共部分的部分代码
int suricataLibraryPublicInit(const char* yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc)
{
    pthread_mutex_lock(&sg_initMutex);
    static int retCode = 1;
    do
    {
        if (0 == retCode)
        {
            break;
        }
        //保存动态加载规则结果的回调函数
        reloadRuleRetFunc = retFunc;
        SC_ATOMIC_INIT(isReloading);
        SCInstanceInit(&suricata, "suricata_603_lib");

        if (InitGlobal() != 0) {
            retCode = -1;
            break;
        }

        //不读命令参数 直接设定为 RUNMODE_LIBRARY
        
        suricata.run_mode = RUNMODE_LIBRARY;

        //保存suricata.yaml文件路径
        memcpy(yamlFilePathChar, yamlFilePath, pathLen);
        suricata.conf_filename = yamlFilePathChar;
        

        /*
        * ... 此处省略1w行
        */

        retCode = 0;
    } while (false);

    pthread_mutex_unlock(&sg_initMutex);
    return retCode;
}

suricataLibraryPublicInit 函数初始化的内容与  int SuricataMain(int argc, char **argv) 中初始的内容大致相同,不同点主要有三:

1、suricataLibraryPublicInit不初始worker线程的数据,这部分放在Process 线程调用suricataLibrarayThreadInit 函数实现。

2、suricataLibraryPublicInit 去掉了 SuricataMainLoop(&suricata)调用,因为libsuri_603.so不需要这个了,其动态加载规则放在另外的接口中处理 int suricataLibDynamicUpdateRules(void);

3、Destroy部分放在suricataLibGlobalsDestroy 接口中。

RunModeLibraryRegister

RunModeRegisterRunModes 函数中增加 RunModeLibraryRegister() 用以注册RUNMODE_LIBRARY 的回调函数 RunModeLibraryWorkers ,这个函数在各个线程在初始化自有线程的数据时调用。

void RunModeRegisterRunModes(void)
{
    /*
    * ...
    */
    RunModeLibraryRegister();
    return;
}

void RunModeLibraryRegister(void)
{
    SCEnter();
    RunModeRegisterNewRunMode(RUNMODE_LIBRARY, "workers",
                              "Workers library mode, each thread does all"
                              " tasks from acquisition to logging",
                              RunModeLibraryWorkers);
    library_default_mode = "workers";
	return;
}

 TmModuleDecodeLibraryRegister  注册DecodeLibrary 的解析函数

void RegisterAllModules(void)
{
    /*
    *
    */

    /* library */
    TmModuleDecodeLibraryRegister();
}

void TmModuleDecodeLibraryRegister (void)
{
	SCEnter();
	SCLogDebug(" libraray support");

	tmm_modules[TMM_DECODELIBRARY].name = "DecodeLibrary";
	tmm_modules[TMM_DECODELIBRARY].ThreadInit = DecodeLibraryThreadInit;
	tmm_modules[TMM_DECODELIBRARY].Func = DecodeLibrary;
	tmm_modules[TMM_DECODELIBRARY].ThreadExitPrintStats = NULL;
	tmm_modules[TMM_DECODELIBRARY].ThreadDeinit = DecodeLibraryThreadDeinit;
	tmm_modules[TMM_DECODELIBRARY].cap_flags = 0;
	tmm_modules[TMM_DECODELIBRARY].flags = TM_FLAG_DECODE_TM;

	SCReturn;
}

初始化自有线程部分

int suricataLibrarayThreadInit(void)
{
     /*
    * ... 此处省略1w行
    */
    
    //主要是这个函数 调用 RUNMODE_LIBRARY 模式的回调函数 
    //这里调用下面RunModeLibraryWorkers这个函数
    mode->RunModeFunc();

    /*
    * ... 此处省略1w行
    */
    return 0;
}

static int RunModeLibraryWorkers(void)
{
    int ret = -1;
    char tname[50] = { "" };
    ThreadVars* tv_worker = NULL;
    TmModule* tm_module = NULL;

    pthread_t pthreadId = pthread_self();
    snprintf(tname, sizeof(tname), "LIBW-%lu", pthreadId);

    tv_worker = TmThreadCreatePacketHandler(tname,
        "packetpool", "packetpool",
        "packetpool", "packetpool",
        "pktacqloop");
    if (tv_worker == NULL) {
        SCLogError(SC_ERR_LIBRARY_CONFIG, " TmThreadsCreate failed for (%s)", tname);
        //exit(EXIT_FAILURE);
        return -1;
    }
    tv_worker->t = pthreadId;

    //注册解析流程 DecodeLibrary为新增的函数
    tm_module = TmModuleGetByName("DecodeLibrary");
    if (tm_module == NULL) {
        SCLogError(SC_ERR_LIBRARY_CONFIG, " TmModuleGetByName failed for DecodeLibrary");
        return -1;
    }
    TmSlotSetFuncAppend(tv_worker, tm_module, NULL);

    //注册检测流程 FlowWorker为原有的函数
    tm_module = TmModuleGetByName("FlowWorker");
    if (tm_module == NULL) {
        SCLogError(SC_ERR_RUNMODE, "TmModuleGetByName for FlowWorker failed");
        return -1;
    }
    TmSlotSetFuncAppend(tv_worker, tm_module, NULL);
    
    //初始化worker线程的内存池(PacketPoolInit) 对流等
    TmThreadsSlotPktAcqInit(tv_worker);

    libraryThreadVarsPtr = tv_worker; //线程变量, 保存每个线的ThreadVars
    
    //不创建线程,只将这个线程变量加入 ThreadVars *tv_root[TVT_MAX] 中保存
    TmThreadAppend(tv_worker, tv_worker->type);

    return ret;
}

检测接口 suricataLibProcessPacket

这个就直接调用接口,然后顺着注册的回调函数依次运行即可  DecodeLibrary -> FlowWorker

int suricataLibProcessPacket(const uint8_t* pkt, int caplen, uint8_t ipType, const struct timeval* lcapTime, PacketOutAlerts* outAlerts)
{
    TmEcode code = suricataLibraryProcessPacket(pkt, caplen, ipType, lcapTime, outAlerts);
    SCReturnInt(code);
}

动态加载规则

创建子线程加载  加载函数为suricataLibraryAsyncUpdateRules

int suricataLibraryDynamicUpdateRules(void)
{
    if (unlikely(SC_ATOMIC_GET(isReloading) == true))
    {
        return -1;
    }
    SC_ATOMIC_SET(isReloading, true);
    pthread_t thread_id;
    pthread_attr_t attr;
    /* Initialize and set thread detached attribute */
    pthread_attr_init(&attr);

    pthread_attr_setdetachstate(&attr, PTHREAD_CREATE_DETACHED);

    int rc = pthread_create(&thread_id, &attr, suricataLibraryAsyncUpdateRules, NULL);
    if (rc) {
        printf("ERROR; return code from pthread_create() is %" PRId32 "\n", rc);
        SCLogError(SC_ERR_THREAD_DEINIT, "ERROR; return code from suricataLibraryDynamicUpdateRules pthread_create() is %" PRId32 "\n", rc);
        SC_ATOMIC_SET(isReloading, false);
        return -2;
    }
    return 0;
}

目前的问题

使用的同步接口检测并获取alter结果

1、ids模式下,因为是逐流检测,所以检测的结果相对于实际有alter的包有延后,这样对于pcap留存功能有影响;流超时检测会导致同步接口获取不到检测结果。

2、改成ips检测,这样有逐包检测,这样的话能够解决上面的问题,但是性能会下降,还会出现多的结果(比如存在这样一个http流,有两个事务,第一个事务只能被规则1命中,第二个事务只能被规则2命中。那么在ips模式下,第一个事务会检测出规则1,第二个事务会出规则2的同时多出一个规则1的结果)

3、同一个事务如果有多次多个结果,目前只取了第一个结果。这种在上面的ips模式下,可能取不到正确的结果(这个问题是dpi控制的)。

 凡是过往,即为序章 

杜兰特的小号
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 22
    评论
专栏目录
suricata之linux编译
hezhanran的博客
10-26 2808
suricata编译
suricata 6.0.4使用手册
03-03
- **签名**:Suricata使用签名(signatures)来识别攻击,这些签名是预定义的规则,匹配特定的网络流量模式。 - **运行Suricata**:启动Suricata后,它会开始分析网络流量,并根据规则触发警报。 - **警报**:当...
suricata 的安装编译
weixin_33924220的博客
09-11 1596
最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系统是Ubuntu 16.04.2 LTS,下来描述我的操作过程; 1,安装suricata运行可能用到的库;   sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \   build-essential autoconf automake libtool l...
VSCode编译调试Suricata
最新发布
qq_54078539的博客
06-02 451
使用VsCode 编译调试Suricata源码
suricata ips模式 编译安装方法+suricata的一些常见运行命令和注意事项---------未完,待补充
Chaowanq的博客
11-26 1241
suricata ips模式 编译安装方法+一些错误定位或注意事项 一、 suricata ips模式 编译安装运行方法 1>安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev li
编译生成动态库文件(方式二)
liwentongliunian的专栏
08-15 494
unix下生成动态库文件:          之前已经介绍了依靠makefile文件实现可执行文件,下面说下在源文件中指定加载的动态库文件;   一.   源码文件: datetime.h:    #ifndef __DATETIME_H  #define __DATETIME_H   /* 日期结构 */
<suricata编译安装>
程序狗的成长之路
07-11 1469
原文:http://blog.csdn.net/wsk004321/article/details/25594265 想到研究suricata只读源码估计还不凑效,需要了解下真实环境下怎么应用,这样理解起来估计会更有感觉,于是在自己本地虚拟机中安装编译一下: 1、虚拟机操作系统Linux centos5.0 2、下载suricata源码    http://ww
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...但是您可能想要查看Suricata记录的内容,因此您可能想要像这样启动它: ...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,...首先:使用docker-compose启动Suricata :(您必须在存储库中才能执行) docker-compose up 如果要在后台运行: docker-compose up -d Suricata
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,... 如果要使用Suricata来检测HTTPS有效负载中的攻击者,则应为nginx等HTTPS设置反向代理,然后将HTTP转发到应用程序服务器,并在此HTTP流量上运行Suricata。 如果您不确
suricata构建器:使用Docker和Vagrant的各种发行版和操作系统的Suricata构建器
02-06
Suricata建筑商(用于开发)要求Docker for基于Docker的构建Vagrant和VirtualBox for Vagrant构建。运行特定版本例如,在您的Suricata源目录中运行CentOS 7: /path/to/suricata-builders/docker-centos-7/run.sh...
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
AutoSuricata:Suricata IDS 构建脚本,用于为 Ubuntu 自动化 Suricata IDS 部署!
06-29
自动苏里卡塔 Suricata-IDS 安装脚本来自动化(或简化)Ubuntu 的部署。 现在添加了 Suricata 的 Sensu Checks! 我很清楚@da667 构建的 AutoSnort 项目,它超级好地简化了 Snort 的安装过程,并决定为 Suricata 构建自己的部署脚本,以了解更多关于脚本、自动化和部署的知识。 在早期阶段,这将相当简单,但是我想添加 AutoSnort 具有的一些功能,因此该脚本中的一些将引用这些脚本。 您可以在此处了解 AutoSnort: : 和 Suricata: ://suricata-ids.org/
Ubuntu编译安装suricata6.03
qq_37668945的博客
10-21 950
基础环境 Ubuntu 21.04 Python 3 pip 编译suricat 6.0.3 安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \ m
Suricata源码阅读笔记:main()
weixin_34178244的博客
12-15 584
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata 3.1 源码分析24 (数据包解码模块执行)
superbfly的专栏
09-29 1989
/** * \brief This function passes off to link type decoders. * * DecodePcap reads packets from the PacketQueue and passes * them off to the proper link type decoder. * * \param t pointer to Threa
如何在 Linux 系统上安装 Suricata 入侵检测系统
weixin_33738578的博客
05-02 898
如何在 Linux 系统上安装 Suricata 入侵检测系统 随着安全威胁的不断发生,入侵检测系统(IDS)在如今的数据中心环境中显得尤为必要。然而,随着越来越多的服务器将他们的网卡升级到10GB/40GB以太网,对如此线路上的硬件进行计算密集型的入侵检测越来越困难。其中一种提升入侵检测系统性能的途径是多线程入侵检测系统,它将 CPU 密集型的深...
suricata怎么编译hyperscan
06-01
要在Suricata中编译Hyperscan,需要按照以下步骤: 1. 首先,需要安装Hyperscan的依赖项。在Ubuntu上,可以运行以下命令: ```bash sudo apt-get install cmake libboost-dev ragel libhyperscan-dev ``` 2. 接下来,从Suricata源代码存储库中下载并提取最新版本。 3. 进入Suricata源代码目录,然后运行以下命令: ```bash ./configure --enable-hyperscan make ``` 4. 编译完成后,Hyperscan将被包含在Suricata二进制文件中。 请注意,如果您在编译Suricata时遇到任何问题,请参阅Suricata文档或Suricata社区支持。
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值