2. 程式人生 > 其它 >suricata 原始碼分析_01

suricata 原始碼分析_01

阿新 發佈:2022-04-10

https://blog.51cto.com/leejia/2457743

Suricata簡介

Suricata是一個高效能的IDS、IPS和網路安全監控的引擎。它是開源的,由一個社群經營的非營利基金會開放資訊保安基金會(OISF)開發。

安裝環境建議使用centos7/redhat7版本以上的作業系統,Suricata版本建議使用4.x以上,這樣方便多執行緒,Hypersca,pfring等功能的使用。6版本的作業系統編譯環境需要花時間取升級修復,不建議使用。

IDS/IPS簡介

檢測系統(Intrusion detection system,簡稱“IDS” 是一種對網路傳輸進行即時監視,根據預設的策略,在發現可疑傳輸時發出警報。
預防系統(Intrusion prevention system,簡稱“IPS”)

是一部能夠監視網路或網路裝置的網路資料傳輸行為的計算機網路安全裝置,一般位於防火牆和網路的裝置之間,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。相對於IDS主能提供了中斷防禦功能。

Suricata主要特點

支援從nfqueue中讀取流量
支援分析離線pcap檔案和pcap檔案方式儲存流量資料
支援ipv6
支援pcap,af_packet,pfring,硬體卡抓包
多執行緒
支援內嵌lua指令碼,以實現自定義檢測和輸出指令碼
支援ip信用等級
支援檔案還原
相容snort規則
支援常見資料包解碼:IPv4, IPv6, TCP, UDP, SCTP, ICMPv4, ICMPv6, GRE, Ethernet, PPP, PPPoE, Raw, SLL, VLAN, QINQ, MPLS, ERSPAN, VXLAN
支援常見應用層協議解碼:HTTP, SSL, TLS, SMB, DCERPC, SMTP, FTP, SSH, DNS, Modbus, ENIP/CIP, DNP3, NFS, NTP, DHCP, TFTP, KRB5, IKEv2, SIP, SNMP, RDP

suricata程式入口

graph A[suricata入口函式] -->B(SuricataMain) B-->C[SCInstanceInit例項化一個suricata配置] C-->D[ParseCommandLine 命令列解析] D-->E[FinalizedRunMode 確定Suricata最後的執行模式] E-->F[StartInternalRunMode 內部模式執行] F-->G[GlobalInitPreConfig初始化全域性預配置] G-->H(LoadYamlCongfig從yaml配置檔案載入suriacata配置) H-->L(ConfDump轉儲配置到 stdout) L-->I(SetupUserMode建立使用者態模式) I-->J(InitRunAs初始化使用者和組 Suricata 將作為執行方式) J-->K(UtilCpuPrintSummary列印檢測到的 CPU 的摘要) K-->M(ParseInterfacesList解析網絡卡介面列表) M-->N(PostConfLoadedSetup旨在包含載入配置後需要執行的程式碼) N-->S(SCDropMainThreadCaps) S-->1(CoredumpEnable) 1-->2(PreRunPostPrivsDropInit我們需要在資料包開始流動之前執行的任務) 2-->3(PostConfLoadedDetectSetup) 3-->4(SCSetStartTime載入時間) 4-->5(RunModeDispatch執行模式分發) 5-->6(SC_ATOMIC_SET更新引擎階段/狀態標誌) 6-->7(PacketPoolPostRunmodes資料池) 7-->8(TmThreadContinueThreads 取消暫停所有暫停的執行緒) 8-->9(PostRunStartedDetectSetup設定max_pending_return_packets值) 9-->10(SuricataMainLoop suricata主迴圈) 10-->11(UnixSocketKillSocketThread unix殺死socket執行緒) 11-->12(PostRunDeinit清理/關閉主模式和unix套接字模式的程式碼將在 unix 插槽模式下每個 pcap執行一次) 12-->13(TmThreadKillThreads殺死剩餘的執行緒)

相關推薦

suricata 原始碼分析_01

https://blog.51cto.com/leejia/2457743 Suricata簡介 Suricata是一個高效能的IDS、IPS和網路安全監控的引擎。它是開源的,由一個社群經營的非營利基金會開放資訊保安基金會(OISF)開發。

suricata 原始碼分析_02

suricata 架構圖 架構拆分 資料包佇列處理     在TmThreadCreate中呼叫TmqCreateQueue建立PackQueue,autofp模式下且輸出佇列為flow時,首先要看outqh的OutHandleCtxSetup是否設定,若設定了則會呼叫該函式去間

Suricata原始碼分析-配置模組載入

初始化載入配置 ConfYamlLoadFile(主函式) 模組主函式是通過SuricataMain -> LoadYamlConfig -> ConfYamlLoadFile 進入的,Suricata中解析YAML檔案是通過c語言libyaml庫實現的,libyaml庫有三種方式來解析YA

Suricata原始碼分析-規則載入模組

規則載入之前的資料獲取 程式呼叫LoadYamlConfig 函式從 suricata.yaml 的配置檔案中,獲取到所有配置儲存到節點樹中,其中載入規則需要用到的包括:規則檔案的預設路徑default-rule-path,以及每個規則檔案的名字r

iOS 引用計數 retainCount、retain、release 原始碼分析+註釋+實驗

這篇文章與上一篇有較大的關聯,沒看過的可以先去看看 ^ _ ^ 物件alloc後retainCount為什麼引用計數為1

iOS GCDAsyncSocket原始碼分析(二)

由於上一篇文章篇幅過長移到這邊。 3.read&write 先看write //寫資料對外方法 - (void)writeData:(NSData *)data withTimeout:(NSTimeInterval)timeout tag:(long)tag

iOS GCDAsyncSocket原始碼分析(一)

序言 在上一篇文章文章中,簡單介紹了GCDAsyncSocket的使用,socket建立、連線、傳送訊息、接收訊息、關閉socket、粘包分包、以及心跳包機制。並且立下了一個flag,所以在這篇文章,將帶來GCDAsyncSocket的原始碼分析

Jetpack 之 Lifecycles 原始碼分析

LifecycleOwner LifecycleOwner 是單一方法介面,實現此介面表明此類具有生命週期 Lifecycle。

PHP 原始碼 — intval 函式原始碼分析(演演算法:字串轉換為整形)

文章來源: github.com/suhanyujie/… 作者:suhanyujie 基於PHP 7.3.3 PHP 中的 intval intval 函式的簽名從官方檔案可見:

spring cloud feign擴充套件點及原理(原始碼)分析

背景 遠端呼叫實現技術方案中,spring cloud openfeign可以說是入門簡單,使用方便。作為spring cloud家族成員,它的使用量廣泛。瞭解spring framework,spring boot,spring cloud本身就是一件技術人分內的事。進階路上

SpringIOC容器解決迴圈依賴原始碼分析

spring的ioc來解決迴圈依賴的問題,從AbstractBeanFactory#getBean方法來進行原始碼分析,spring的解決迴圈依賴的原理,可以從三個本地快取Map集合進行調解,本篇文章打算從迴圈依賴的定義來解釋,在結合原始碼進行分

7. SOFAJRaft原始碼分析—如何實現一個輕量級的物件池?

前言 我在看SOFAJRaft的原始碼的時候看到了使用了物件池的技術,看了一下感覺要吃透的話還是要新開一篇文章來講,內容也比較充實,大家也可以學到之後運用到實際的專案中去。

之江實驗室kubeedge原始碼分析

Java 基礎:String 類原始碼分析

String 類實現介面屬性1、私有屬性私有類 CaseInsensitiveComparatorString 構造方法1、無參建構函式2、引數為 String 型別3、引數為字元陣列4、引數為 int 陣列5、引數為位元組陣列6、引數為 StringBuilder 或 Str

kubeedge原始碼分析系列之整體架構

本系列的原始碼分析是在 commit da92692baa660359bb314d89dfa3a80bffb1d26c 之上進行的。 kubeedge是一個基於kubernetes構建的開放平臺,使能邊緣計算,將容器化應用編排功能擴充套件到邊緣的節點和裝置,併為雲和邊

SpringBoot啟動流程原始碼分析(1)

SpringApplication例項化 springboot簡化spring的大量xml的配置檔案,為了實現統一化配置管理,一般引數配置

【原創】005 | 搭上SpringBoot請求處理原始碼分析專車

專車介紹 該趟專車是開往Spring Boot請求處理原始碼分析專車,主要用來分析Spring Boot是如何將我們的請求路由到指定的控制器方法以及呼叫執行。

ArrayList常用API原始碼分析

3.1、ArrayList 簡介: 底層是可改變大小的陣列結構,實現了list介面,執行緒不安全,可以加入null元素,元素有序,允許重複。適合查詢,不適合指定位置的插入(adding n elements requires O(n) time)、刪除操作。

kubeedge原始碼分析系列之edgecore(五)

本系列的原始碼分析是在 commit da92692baa660359bb314d89dfa3a80bffb1d26c 之上進行的。 cloudcore部分的原始碼分析是在kubeedge原始碼分析系列之整體架構基礎上展開的,如果沒有閱讀過kubeedge原始碼分析系列之整體

AQS原始碼分析及核心方法解析

1 概述 AQS提供了一個基於FIFO佇列實現鎖和同步器的基本框架。 j.c.u中使用AQS的類有: