suricata 编译成动态库使用

已于 2022-02-17 22:42:42 修改
阅读量2.1k 收藏 6
点赞数 4
分类专栏: suricata 文章标签: 网络安全 suricata
于 2021-12-15 18:10:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/121951351
版权

项目中需求使用suricata 检测功能,只需要获取检测得到的 alert 结果, 需要将suricata的检测功能集成到我们的项目中,并提供接口动态加载规则。 源代码版本 6.0.4

源码 将suricata编译成动态库,使用suricata检测功能,只需要获取检测得到的alert。

目录

前提

接口

编译成动态库

初始化部分 suricataLibInit

初始化公共部分

RunModeLibraryRegister

 TmModuleDecodeLibraryRegister  注册DecodeLibrary 的解析函数

初始化自有线程部分

检测接口 suricataLibProcessPacket

动态加载规则

前提

1、将 suricata 编译成动态库(以下简称为 libsuri_603.so),供我们的项目调用。

2、我们的项目已自己采集网卡数据,程序将调用 libsuri_603.so,将采集到的数据传入。

3、项目中调用的 libsuri_603.so 的也是一个动态库,并且只能在子线程(子线程名字为 Process 线程,和suricata中的worker线程一一对应)中,所有 libsuri_603.so 中的接口全部都在子线程中调用。

4、至少提供四个接口,分别为初始化,检测数据传入,动态规则加载接口,Destroy。

5、增加一个run_mode 为 RUNMODE_LIBRARY,在初始化中直接复制suricata.run_mode = RUNMODE_LIBRARY;

6、增加了三个文件分别为 libsuricata.h(接口头文件), source-library.c(主要负责调用工作线程),runmode-library.c(主要负责worker线程的处理化)

接口

/* libsuricata.h */

//动态加载规则结束的回调
typedef void (*ReloadRuleRet)(int);

/** \internal
 *  \brief 初始化,每个 Process  线程都会调用这个 函数,但是只有其中一个线程取初始化suricata
 *  全局使用的数据,比如诸多回调函数的注册,管理线程的创建,规则文件的加载,检测引擎的加载。
 *  待全局数据初始完成后才会在每个 Process 线程中初始 worker线程独有的数据,
 *  注册工作流程的回调函数,初始化工作线程变量和存放数据包的内存池。
 *  \param yamlFilePath suricata.yaml配置文件的路径
 *  \param ips_ids 0:ips or 1:ids, 没有用到阻断功能,ips只是用以逐包检测
 *  \param retFunc 动态加载规则结果的回调函数
 */

int suricataLibInit(const char* yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc);

/** \internal
 *  \brief worker 我们项目会处理含有gtp层的码流,suricata不能解析这个,
 *  故这里会把含有gtp层的数据直接从内层ip开始,ipType=4 or 6; 
 *  不含gtp的从Ethernet开始,ipType=0
 *  \param pkt 一条码流包
 *  \param caplen 长度
 *  \param ipType 详见brief 
 *  \param lcapTime 包时间
 *  \param outAlerts 传入alert,同步数据结构,事实上ids是逐流检测的,出结果可能会晚一些
 *                   我们程序希望使用ips逐包检测,这样,出的检测结果即是当前传入的包触发的
 */

int suricataLibProcessPacket(const uint8_t* pkt, int caplen, uint8_t ipType
    , const struct timeval* lcapTime, PacketOutAlerts* outAlerts);

/** \internal
 *  \brief 动态加载规则 加载规则比较耗时,在此只是创建一个子线程,在子线程中加载规则
 */
int suricataLibDynamicUpdateRules(void);

/** \internal
 *  \brief 释放资源
 */
void suricataLibGlobalsDestroy(void);

编译成动态库

修改 src/Makefile.am 文件 ,将suricata编译成名字为 libsuri_603.so 的动态库

初始化部分 suricataLibInit


int suricataLibInit(const char *yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc)
{
    //先初始化公共部分,保证只有一个线程初始化
    int retCode = suricataLibraryPublicInit(yamlFilePath, ips_ids, retFunc);
    if (0 != retCode)
    {
        return retCode;
    }
    // 公共部分初始完成后再初始化自有线程的数据
    return suricataLibrarayThreadInit();
}

初始化公共部分

//初始化suricata 公共部分的部分代码
int suricataLibraryPublicInit(const char* yamlFilePath, uint8_t ips_ids, ReloadRuleRet retFunc)
{
    pthread_mutex_lock(&sg_initMutex);
    static int retCode = 1;
    do
    {
        if (0 == retCode)
        {
            break;
        }
        //保存动态加载规则结果的回调函数
        reloadRuleRetFunc = retFunc;
        SC_ATOMIC_INIT(isReloading);
        SCInstanceInit(&suricata, "suricata_603_lib");

        if (InitGlobal() != 0) {
            retCode = -1;
            break;
        }

        //不读命令参数 直接设定为 RUNMODE_LIBRARY
        
        suricata.run_mode = RUNMODE_LIBRARY;

        //保存suricata.yaml文件路径
        memcpy(yamlFilePathChar, yamlFilePath, pathLen);
        suricata.conf_filename = yamlFilePathChar;
        

        /*
        * ... 此处省略1w行
        */

        retCode = 0;
    } while (false);

    pthread_mutex_unlock(&sg_initMutex);
    return retCode;
}

suricataLibraryPublicInit 函数初始化的内容与  int SuricataMain(int argc, char **argv) 中初始的内容大致相同,不同点主要有三:

1、suricataLibraryPublicInit不初始worker线程的数据,这部分放在Process 线程调用suricataLibrarayThreadInit 函数实现。

2、suricataLibraryPublicInit 去掉了 SuricataMainLoop(&suricata)调用,因为libsuri_603.so不需要这个了,其动态加载规则放在另外的接口中处理 int suricataLibDynamicUpdateRules(void);

3、Destroy部分放在suricataLibGlobalsDestroy 接口中。

RunModeLibraryRegister

RunModeRegisterRunModes 函数中增加 RunModeLibraryRegister() 用以注册RUNMODE_LIBRARY 的回调函数 RunModeLibraryWorkers ,这个函数在各个线程在初始化自有线程的数据时调用。

void RunModeRegisterRunModes(void)
{
    /*
    * ...
    */
    RunModeLibraryRegister();
    return;
}

void RunModeLibraryRegister(void)
{
    SCEnter();
    RunModeRegisterNewRunMode(RUNMODE_LIBRARY, "workers",
                              "Workers library mode, each thread does all"
                              " tasks from acquisition to logging",
                              RunModeLibraryWorkers);
    library_default_mode = "workers";
	return;
}

 TmModuleDecodeLibraryRegister  注册DecodeLibrary 的解析函数

void RegisterAllModules(void)
{
    /*
    *
    */

    /* library */
    TmModuleDecodeLibraryRegister();
}

void TmModuleDecodeLibraryRegister (void)
{
	SCEnter();
	SCLogDebug(" libraray support");

	tmm_modules[TMM_DECODELIBRARY].name = "DecodeLibrary";
	tmm_modules[TMM_DECODELIBRARY].ThreadInit = DecodeLibraryThreadInit;
	tmm_modules[TMM_DECODELIBRARY].Func = DecodeLibrary;
	tmm_modules[TMM_DECODELIBRARY].ThreadExitPrintStats = NULL;
	tmm_modules[TMM_DECODELIBRARY].ThreadDeinit = DecodeLibraryThreadDeinit;
	tmm_modules[TMM_DECODELIBRARY].cap_flags = 0;
	tmm_modules[TMM_DECODELIBRARY].flags = TM_FLAG_DECODE_TM;

	SCReturn;
}

初始化自有线程部分

int suricataLibrarayThreadInit(void)
{
     /*
    * ... 此处省略1w行
    */
    
    //主要是这个函数 调用 RUNMODE_LIBRARY 模式的回调函数 
    //这里调用下面RunModeLibraryWorkers这个函数
    mode->RunModeFunc();

    /*
    * ... 此处省略1w行
    */
    return 0;
}

static int RunModeLibraryWorkers(void)
{
    int ret = -1;
    char tname[50] = { "" };
    ThreadVars* tv_worker = NULL;
    TmModule* tm_module = NULL;

    pthread_t pthreadId = pthread_self();
    snprintf(tname, sizeof(tname), "LIBW-%lu", pthreadId);

    tv_worker = TmThreadCreatePacketHandler(tname,
        "packetpool", "packetpool",
        "packetpool", "packetpool",
        "pktacqloop");
    if (tv_worker == NULL) {
        SCLogError(SC_ERR_LIBRARY_CONFIG, " TmThreadsCreate failed for (%s)", tname);
        //exit(EXIT_FAILURE);
        return -1;
    }
    tv_worker->t = pthreadId;

    //注册解析流程 DecodeLibrary为新增的函数
    tm_module = TmModuleGetByName("DecodeLibrary");
    if (tm_module == NULL) {
        SCLogError(SC_ERR_LIBRARY_CONFIG, " TmModuleGetByName failed for DecodeLibrary");
        return -1;
    }
    TmSlotSetFuncAppend(tv_worker, tm_module, NULL);

    //注册检测流程 FlowWorker为原有的函数
    tm_module = TmModuleGetByName("FlowWorker");
    if (tm_module == NULL) {
        SCLogError(SC_ERR_RUNMODE, "TmModuleGetByName for FlowWorker failed");
        return -1;
    }
    TmSlotSetFuncAppend(tv_worker, tm_module, NULL);
    
    //初始化worker线程的内存池(PacketPoolInit) 对流等
    TmThreadsSlotPktAcqInit(tv_worker);

    libraryThreadVarsPtr = tv_worker; //线程变量, 保存每个线的ThreadVars
    
    //不创建线程,只将这个线程变量加入 ThreadVars *tv_root[TVT_MAX] 中保存
    TmThreadAppend(tv_worker, tv_worker->type);

    return ret;
}

检测接口 suricataLibProcessPacket

这个就直接调用接口,然后顺着注册的回调函数依次运行即可  DecodeLibrary -> FlowWorker

int suricataLibProcessPacket(const uint8_t* pkt, int caplen, uint8_t ipType, const struct timeval* lcapTime, PacketOutAlerts* outAlerts)
{
    TmEcode code = suricataLibraryProcessPacket(pkt, caplen, ipType, lcapTime, outAlerts);
    SCReturnInt(code);
}

动态加载规则

创建子线程加载  加载函数为suricataLibraryAsyncUpdateRules

int suricataLibraryDynamicUpdateRules(void)
{
    if (unlikely(SC_ATOMIC_GET(isReloading) == true))
    {
        return -1;
    }
    SC_ATOMIC_SET(isReloading, true);
    pthread_t thread_id;
    pthread_attr_t attr;
    /* Initialize and set thread detached attribute */
    pthread_attr_init(&attr);

    pthread_attr_setdetachstate(&attr, PTHREAD_CREATE_DETACHED);

    int rc = pthread_create(&thread_id, &attr, suricataLibraryAsyncUpdateRules, NULL);
    if (rc) {
        printf("ERROR; return code from pthread_create() is %" PRId32 "\n", rc);
        SCLogError(SC_ERR_THREAD_DEINIT, "ERROR; return code from suricataLibraryDynamicUpdateRules pthread_create() is %" PRId32 "\n", rc);
        SC_ATOMIC_SET(isReloading, false);
        return -2;
    }
    return 0;
}

目前的问题

使用的同步接口检测并获取alter结果

1、ids模式下,因为是逐流检测,所以检测的结果相对于实际有alter的包有延后,这样对于pcap留存功能有影响;流超时检测会导致同步接口获取不到检测结果。

2、改成ips检测,这样有逐包检测,这样的话能够解决上面的问题,但是性能会下降,还会出现多的结果(比如存在这样一个http流,有两个事务,第一个事务只能被规则1命中,第二个事务只能被规则2命中。那么在ips模式下,第一个事务会检测出规则1,第二个事务会出规则2的同时多出一个规则1的结果)

3、同一个事务如果有多次多个结果,目前只取了第一个结果。这种在上面的ips模式下,可能取不到正确的结果(这个问题是dpi控制的)。

 凡是过往,即为序章 

杜兰特的小号
关注
专栏目录
基于DPDK抓包的Suricata安装部署
2301_77342543的博客
07-09 381
基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
suricata之linux编译
hezhanran的博客
10-26 3023
suricata编译
Suricata windows 使用
最新发布
zengliguang的专栏
09-20 585
【代码】Suricata windows 使用
suricata 的安装编译
weixin_33924220的博客
09-11 1627
最近打算研究suricata源码,下载并安装了稳定版3.2.3版本,操作系统是Ubuntu 16.04.2 LTS,下来描述我的操作过程; 1,安装suricata运行可能用到的库;   sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \   build-essential autoconf automake libtool l...
VSCode编译调试Suricata
qq_54078539的博客
06-02 593
使用VsCode 编译调试Suricata源码
suricata ips模式 编译安装方法+suricata的一些常见运行命令和注意事项---------未完,待补充
Chaowanq的博客
11-26 1354
suricata ips模式 编译安装方法+一些错误定位或注意事项 一、 suricata ips模式 编译安装运行方法 1>安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev li
编译生成动态库文件(方式二)
liwentongliunian的专栏
08-15 512
unix下生成动态库文件:          之前已经介绍了依靠makefile文件实现可执行文件,下面说下在源文件中指定加载的动态库文件;   一.   源码文件: datetime.h:    #ifndef __DATETIME_H  #define __DATETIME_H   /* 日期结构 */
suricata mysql_Suricata启用Hyperscan支持以及Prelude-siem安装方法.md
weixin_29263201的博客
02-11 458
# Suricata启用Hyperscan支持以及Prelude-siem安装方法## 0x01 安装 Hyperscan### 1、Hyperscan 安装要求:* GCC 版本大于等于 4.8.1,使用 yum 源安装即可* CMake 版本大于等于 2.8.11,使用 yum 源安装即可* Ragel 版本大于等于 6.9,使用 yum 源安装即可* Python 版本为 2.7,使用系统默...
linux生成动态库 -fPIC报错
so_dota_so的博客
08-15 1272
linux生成动态库时遇到了relocation R_X86_64_32 against `luaO_nilobject_' can not be used when making a shared object; recompile with -fPIC错误。 -fPIC作用于编译阶段,告诉编译器产生与位置无关代码(Position-Independent Code),   则产生的
Ubuntu 20.04.1 LTS 安装Suricata
随便写写
10-03 1226
eeee
Suricata 4.0.0用户指南:启动后删除特权与规则详解
实现这一功能需要依赖libcap-ng库,它提供了动态修改进程能力的工具。libcap-ng通常在各种Linux发行版的仓库中可用,如果不在,可以通过源码编译安装。具体步骤包括下载libcap-ng的最新版本,解压缩,配置,编译,...
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
AutoSuricata:Suricata IDS 构建脚本,用于为 Ubuntu 自动化 Suricata IDS 部署!
06-29
自动苏里卡塔 Suricata-IDS 安装脚本来自动化(或简化)Ubuntu 的部署。 现在添加了 Suricata 的 Sensu Checks! 我很清楚@da667 构建的 AutoSnort 项目,它超级好地简化了 Snort 的安装过程,并决定为 Suricata 构建自己的部署脚本,以了解更多关于脚本、自动化和部署的知识。 在早期阶段,这将相当简单,但是我想添加 AutoSnort 具有的一些功能,因此该脚本中的一些将引用这些脚本。 您可以在此处了解 AutoSnort: : 和 Suricata: ://suricata-ids.org/
Ubuntu 16.04 下安装运行 Suricata
qq_40907977的博客
04-25 1186
介绍 Suricata是一个免费、开源、成熟、快速、健壮的网络威胁检测引擎。Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstas...
<suricata编译安装>
程序狗的成长之路
07-11 1511
原文:http://blog.csdn.net/wsk004321/article/details/25594265 想到研究suricata只读源码估计还不凑效,需要了解下真实环境下怎么应用,这样理解起来估计会更有感觉,于是在自己本地虚拟机中安装编译一下: 1、虚拟机操作系统Linux centos5.0 2、下载suricata源码    http://ww
suricata编译安装和运行
L.
08-19 378
make。
Ubuntu编译安装suricata6.03
qq_37668945的博客
10-21 1015
基础环境 Ubuntu 21.04 Python 3 pip 编译suricat 6.0.3 安装依赖 sudo apt-get -y install libpcre3 libpcre3-dbg libpcre3-dev \ build-essential autoconf automake libtool libpcap-dev libnet1-dev \ libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 \ m
流量分析工具SURICATA使用aarch64-linux交叉编译完整过程
lqjun6688的博客
08-29 1116
SURICATA是一个开源的网络入侵检测系统(IDS)和入侵防御系统(IPS),它可以捕获通讯流量并对其做协议解析,识别或防御通讯流量中可疑或恶意的行为。详细功能和开发指导,请访问SURICATA官网本文主要说明如何在aarch64-linux平台下交叉编译SURICATA
Suricata规则分析与tcmalloc使用详解
规则分析部分详细解释了各项指标,如检查成本、匹配次数等,而tcmalloc章节则介绍了如何安装和使用这个能提升Suricata性能的内存管理库。" Suricata是一款开源的网络安全工具,主要用于网络流量的监控和分析,其...
评论 22
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值