suricata 各个线程干的事情 -- FlowRecyclerThread

已于 2022-02-17 22:40:02 修改
阅读量384 收藏
点赞数 1
分类专栏: suricata 文章标签: 网络安全 suricata
于 2022-01-20 14:18:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuwaiwai/article/details/122582332
版权

目录

线程的初始化   

流管理逻辑处理函数

主循环

线程退出

流管理线程的创建与注册的slot 和 TmModule 对应的关系参见我的之前的一遍文章中创建非工作线程的子线程部分 参照: suricata 各个线程干的事情 -- 主线程_xuwaiwai的博客-CSDN博客

线程函数:tv->tm_func()对应的函数,TmThreadsManagement,suricata中较多的管理线程都在这个函数里执行,包括一些初始化,线程循环,线程退出。

线程的初始化   

设置线程名字和绑定cpu。

注册的模块的初始化,管理线程只注册了一个slot(即 FlowManager 模块),

初始化函数为 s->SlotThreadInit 在此对应为

static TmEcode FlowRecyclerThreadInit(ThreadVars *t, const void *initdata, void **data)

函数中执行:

static TmEcode FlowRecyclerThreadInit(ThreadVars *t, const void *initdata, void **data)
{
    FlowRecyclerThreadData *ftd = SCCalloc(1, sizeof(FlowRecyclerThreadData));
    if (ftd == NULL)
        return TM_ECODE_FAILED;
    if (OutputFlowLogThreadInit(t, NULL, &ftd->output_thread_data) != TM_ECODE_OK) {
        SCLogError(SC_ERR_THREAD_INIT, "initializing flow log API for thread failed");
        SCFree(ftd);
        return TM_ECODE_FAILED;
    }
    SCLogDebug("output_thread_data %p", ftd->output_thread_data);

    *data = ftd;
    return TM_ECODE_OK;
}

实例化一个本线程特有的结构FlowRecyclerThreadData *ftd,

初始化流日志记录器,这将为单个注册的日志程序运行线程init函数  。

状态统计数据初始化。

设置tv的flag为THV_INIT_DONE,以便主线程将此 tv->flag 的暂停标记去除。

流管理逻辑处理函数

r = s->Management(tv, SC_ATOMIC_GET(s->slot_data));

由于slot对应的是FlowManager 模块,则此函数为

static TmEcode FlowRecycler(ThreadVars *th_v, void *thread_data)

主循环

FlowRecycler函数中执行死循环

while (1)
    {
...
        SC_ATOMIC_ADD(flowrec_busy,1);
        FlowQueuePrivate list = FlowQueueExtractPrivate(&flow_recycle_q);

        const int bail = (TmThreadsCheckFlag(th_v, THV_KILL));

        /* Get the time */
        memset(&ts, 0, sizeof(ts));
        TimeGet(&ts);
        SCLogDebug("ts %" PRIdMAX "", (intmax_t)ts.tv_sec);

        Flow *f;
        while ((f = FlowQueuePrivateGetFromTop(&list)) != NULL) {
            Recycler(th_v, ftd->output_thread_data, f);
            recycled_cnt++;
        }
        SC_ATOMIC_SUB(flowrec_busy,1);

...

        if (bail) {
            break;
        }

...
        usleep(250);
...
}

在循环中每隔250微秒循环一次,取出flow_recycle_q中的流对流,并通过static void Recycler(ThreadVars *tv, void *output_thread_data, Flow *f) 函数回收。

static void Recycler(ThreadVars *tv, void *output_thread_data, Flow *f)
{
    FLOWLOCK_WRLOCK(f);

    (void)OutputFlowLog(tv, output_thread_data, f);

    FlowClearMemory (f, f->protomap);
    FLOWLOCK_UNLOCK(f);
    FlowSparePoolReturnFlow(f);
}

函数 FlowClearMemory ,清除从回收队列中摘除的Flow的信息。

然后再调用 FowSparePoolReturnFlow 函数,将上一步已经清除信息的Flow 放入到备用队列中,这个备用队列将会在workThread中新会话获取新流时被使用。

void FlowSparePoolReturnFlow(Flow *f)
{
    SCMutexLock(&flow_spare_pool_m);
    if (flow_spare_pool == NULL) {
        flow_spare_pool = FlowSpareGetPool();
    }
    DEBUG_VALIDATE_BUG_ON(flow_spare_pool == NULL);

    /* if the top is full, get a new block */
    if (flow_spare_pool->queue.len >= flow_spare_pool_block_size) {
        FlowSparePool *p = FlowSpareGetPool();
        DEBUG_VALIDATE_BUG_ON(p == NULL);
        p->next = flow_spare_pool;
        flow_spare_pool = p;
    }
    /* add to the (possibly new) top */
    FlowQueuePrivateAppendFlow(&flow_spare_pool->queue, f);
    flow_spare_pool_flow_cnt++;

    SCMutexUnlock(&flow_spare_pool_m);
}

线程退出

      执行线程退出函数,然后退出。

 凡是过往,即为序章

杜兰特的小号
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Suricata6.0流表管理源码注释八:流的回收01
ljq32的专栏
01-09 7340
流的回收
suricata 各个线程干事情 -- FlowManagerThread
xuwaiwai的博客
01-14 653
suricata 各个线程干事情 -- FlowManagerThread
网络入侵检测和阻止引擎 Suricata线
cnbird's blog
04-11 1897
http://www.oschina.net/p/suricata/ http://suricata-ids.org/
Suricata-流的获取
Phantasm的博客
08-18 1056
文章目录1. 概念2. 流的获取2.1 流的分配3. 流的队列3.1 spare队列3.1.1 入队3.1.2 出队3.2 recycle队列3.2.1 入队3.2.2 出队 1. 概念 流是从特定源发送到特定单播、泛播或多播目的地的数据包序列。流可以由特定传输连接或媒体流中的所有数据包组成。但是,流不一定是1:1映射到传输连接上。 传统上,流是基于源地址和目的地址、源端口和目的端口,及传输协议类型的5元组来区分。 参见RFC-3697 通常我们也指从一端到另一端的一次网络数据传输过程。其包含连接的建立
suricata -- 流管理系统
xuwaiwai的博客
02-16 6053
suricata中使用 流(Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希表,Flow空闲队列,Flow回收队列三个队列中流转。suricata使用不同线程维护这三个队列。
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
什么是SuricataSuricata是一个免费,开源,成熟,快速且强大的网络威胁检测引擎。 有关更多信息,请访问 。 该存储库的目的 支持蓝色团队成员编写有关新的严重漏洞的Suricata规则,以尽快发现并防止攻击者的利用...
suricata-readthedocs-io-en-latest.pdf
07-06
suricata 原文手册
suricata-update:更新您的Suricata规则的工具
04-30
点安装--upgrade suricata-update 文献资料 问题 用法示例 suricata更新 suricata-update的默认调用将执行以下操作: 阅读配置,/ etc / suricata / update.yaml(如果存在)。 读入规则过滤器配置文件: /etc/...
suricata-verify:Suricata验证测试-测试Suricata输出
03-30
运行所有测试在您的Suricata源目录中运行: ../path/to/suricata-verify/run.py或运行一个测试: ../path/to/suricata-tests/run.py TEST-NAME添加新测试创建一个目录,该目录是新测试的名称。 将单个pcap文件复制到...
pfsense-suricata-elk-docker:使用docker-compose将pfSense和Suricata绑定到ELK
05-08
pfsense-suricata-elk-docker 使用docker-compose将pfSense与Suricata绑定到ELK(Elasticsearch,logstash和kibana) 已针对Windows使用docker在Elasticsearch 6.3.0和pfSense 2.4.3-RELEASE-p1上进行了测试 这里...
suricata-手册
11-29
Suricata is a high performance Network IDS, IPS and Network Security Monitoring engine. It is open source and owned by a community-run non-profit foundation, the Open Information Security Foundation (OISF). Suricata is developed by the OISF.
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制...
docker-suricata:Suricata Docker映像
05-07
Suricata Docker映像用法您很可能希望在主机上的网络接口上运行Suricata,而不是在容器内通常提供的网络接口上运行: docker run --rm -it --...-i <interface>但是您可能想要查看Suricata记录的内容,因此您可能想要像...
docker-suricata:使用Docker在容器内的Suricata
05-24
码头工人苏里卡塔(Docker SuricataSuricata是一个开源IDS,IPS和NSM引擎。 有关更多信息,请访问其或查阅官方以获取技术信息。 对于高山用户:使用Docker和Docker Compose运行Suricata的4.0.4版本。 这是...
suricata-5.0.3源码包
最新发布
07-30
Suricata在性能、可扩展性和规则集方面进行了优化,提供了更快的检测速度和更多的功能,如多线程处理、高性能流处理、IPv6支持等。 5. **规则和签名**: Suricata使用规则语言来定义检测策略,这些规则通常包含...
开源IDS suricata源码分析(Flow管理流程)
m0_50638175的博客
09-28 1596
Suricata Flow管理 suricata 使用Flow结构维护会话信息,代码中维护了Flow哈希表(流表),Flow空闲队列,Flow回收队列三个结构,用于存储不同状态的Flow。 参与维护Flow结构的线程 FlowManager 从流表中摘除超时的流放入回收队列 检查空闲队列长度是否为预设值,若过长则释放一部分,若过短则申请一部分 FlowRecyler 从回收队列中摘除Flow,调用注册流输出模块的回掉,清空Flow信息,插入回收队列 FlowWorker 对于新到达的包,在流
Suricata6.0流表管理源码注释四:流的建立02
ljq32的专栏
01-08 609
流的建立02,FlowGetNew
suricata 3.1 源码分析15 (流更新)
superbfly的专栏
09-18 1655
流更新通过FlowWorker线程函数中调用FlowUpdate,FlowUpdate中又调用了FlowHandlePacketUpdate来更新流。 在获取到包所属的流后,接下来将根据这个包对流进行更新。/** \brief Update Packet and Flow * * Updates packet and flow based on the new packet. * *
Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 2898
流管理包括流表的初始化,流的新建、查找、更新、检查老化、流的回收、空闲流数量的动态维护
(gdb) run -c /usr/local/etc/suricata/suricata.yaml --dpdkintel Starting program: -c /usr/local/etc/suricata/suricata.yaml --dpdkintel No executable file specified. Use the "file" or "exec-file" command.
05-30
这是一个 GDB 的调试信息,看起来你正在尝试调试一个程序,但是你没有指定可执行文件。你需要使用 "file" 或 "exec-file" 命令来指定一个可执行文件。例如,如果你要调试一个名为 "myprogram" 的程序,你可以使用以下命令: ``` (gdb) file myprogram ``` 然后你可以使用 "run" 命令来运行程序: ``` (gdb) run -c /usr/local/etc/suricata/suricata.yaml --dpdkintel ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值