2. 程式人生 > 其它 >suricata 原始碼分析_02

suricata 原始碼分析_02

阿新 發佈:2022-04-12

suricata 架構圖

架構拆分

  1. 資料包佇列處理
        在TmThreadCreate中呼叫TmqCreateQueue建立PackQueue,autofp模式下且輸出佇列為flow時,首先要看outqh的OutHandleCtxSetup是否設定,若設定了則會呼叫該函式去間接建立佇列,否則直接呼叫了TmpCreateQueue建立。
  • 接收資料模組
graph A(接收執行緒)-->B[接收資料包模組] A==>D[解析資料包模組] 2[PacketPool]-->|1|C[迴圈抓包] A-->2 C-->|2|2 2-->|3|10[TmThreadSlotProcessPkt] B-->E[初始化資料包模組] B-->C B-->F[退出時釋放資源] 10-->4[TmThreadsSlotVarRun] 10-->5[tv->tmqh_out] 5-->|4|D D-->|5|5 5-->|6|6[資料包佇列模組]
  • 資料包佇列和流操作執行緒模組
        流程式號承接前文。
graph A(資料包佇列模組)-->|7|B[TmThreadsSlotVar] B-->C[p=tv->tmqh_in] B-->D[p=tv->tmqh_out] C-->E[TmqhInputFlow] D-->H[TmqhOutputPacketpool] E-->|8|G[查詢包對應的流_FowHandlePacket] G-->INFO[FlowGetFlowFromHash,獲取包對應的流,<br/>找不到就新建流,返回流指標,返回空說明記憶體不足<br/>] INFO-->J[如果p->flow_hash找不到對應的FlowBucket,<br/>則新建flow掛到對應的bucket上,並通過引數dest返回<br/>] INFO-->L[如果packet和bucket的第一個flow不匹配,5元組+vlan不完全相同,<br/>若遍歷整個bucket連結串列找不到對應的flow,就新建流掛到對應成bucket上,並通過dest返回<br/>] INFO-->K[若遍歷bucket連結串列找到對應的flow,<br/>將當前flow放到bucket的flow->head,判斷流重用,並通過引數dest返回<br/>] INFO-->M[如果packet和bucket第一個flow匹配,<br/>五元組和vlan相同,判斷流重用,<br/>並通過引數dest返回<br/>] G-->N[p->flags=PKT_HAS_FLOW,設定包的標記為屬於某條流] H[流操作執行緒]-->F[FlowWorker] F-->L[流操作] L-->UP[根據包的資訊更行對應的流] UP-->UPINFO[判斷包的流向,並設定對應標誌FLOW_PKT_TOSERVER,FLOW_PKT_TOCLIENT,<br/>判斷是不是第一個流向server或clent的包,並設定該包的標誌對應的flow的標誌:<br/><br/>FLOW_TO_SET_SEEN和FLOW_TO_SRC_SEEN,根據流標誌設定包的流標誌是否為FLOW_PKT_ESTABLISHED,<br/><br/>根據流標誌設定包的標誌對應的檢測位<br/>] L-->StreamTcp[StreamTCP] StreamTcp-->SINFO[判斷包是否需要效驗,不需要則設定包的PKT_IGNORE_CHECKSUM標誌] StreamTcp-->Stream[StreamTcpPacket] L-->Detect[Detect] Flow-->|10|UP UP-->|11|StreamTcp StreamTcp-->|12|Detect Detect-->|13|F F-->|14|R H-->R[ResponseReject] H-->Log[日誌輸出模組] Log-->1[file] Log-->2[flieLog] Log-->3[file_data] Log-->4[Json] 4-->5[JsonAlertLog] 4-->6[JsonDnsLog] 4-->7[JsonDropLog] 4-->8[JsonEmailLog] 4-->9[JsonEmailLog] 4-->10[JsonFileLog] 4-->11[JsonFlowLog] 4-->12[JsonHttpLog] 4-->13[JsonNetFlowLog] 4-->14[JsonSmtpLog] 4-->15[JsonSshLog] 4-->16[JsonStatsLog] 4-->17[JsonTemplateLog] 4-->18[JsonTlsLog] Log-->19[LuaLog] Log-->20[PacketLog] Log-->21[StatesLog] Log-->22[StreamingLog] Log-->23[TxLog] R-->|15|Log flowM[流管理執行緒] flowM-->24[初始化執行緒變數] flowM-->25[處理超時的流] flowM-->26[緊急情況使用,資源不足時啟用] flowM-->27[退出時釋放資源] G-->|9|flowM

相關推薦

suricata 原始碼分析_02

suricata 架構圖 架構拆分 資料包佇列處理     在TmThreadCreate中呼叫TmqCreateQueue建立PackQueue,autofp模式下且輸出佇列為flow時,首先要看outqh的OutHandleCtxSetup是否設定,若設定了則會呼叫該函式去間

suricata 原始碼分析_01

https://blog.51cto.com/leejia/2457743 Suricata簡介 Suricata是一個高效能的IDS、IPS和網路安全監控的引擎。它是開源的,由一個社群經營的非營利基金會開放資訊保安基金會(OISF)開發。

Suricata原始碼分析-配置模組載入

初始化載入配置 ConfYamlLoadFile(主函式) 模組主函式是通過SuricataMain -> LoadYamlConfig -> ConfYamlLoadFile 進入的,Suricata中解析YAML檔案是通過c語言libyaml庫實現的,libyaml庫有三種方式來解析YA

Suricata原始碼分析-規則載入模組

規則載入之前的資料獲取 程式呼叫LoadYamlConfig 函式從 suricata.yaml 的配置檔案中,獲取到所有配置儲存到節點樹中,其中載入規則需要用到的包括:規則檔案的預設路徑default-rule-path,以及每個規則檔案的名字r

iOS 引用計數 retainCount、retain、release 原始碼分析+註釋+實驗

這篇文章與上一篇有較大的關聯,沒看過的可以先去看看 ^ _ ^ 物件alloc後retainCount為什麼引用計數為1

iOS GCDAsyncSocket原始碼分析(二)

由於上一篇文章篇幅過長移到這邊。 3.read&write 先看write //寫資料對外方法 - (void)writeData:(NSData *)data withTimeout:(NSTimeInterval)timeout tag:(long)tag

iOS GCDAsyncSocket原始碼分析(一)

序言 在上一篇文章文章中,簡單介紹了GCDAsyncSocket的使用,socket建立、連線、傳送訊息、接收訊息、關閉socket、粘包分包、以及心跳包機制。並且立下了一個flag,所以在這篇文章,將帶來GCDAsyncSocket的原始碼分析

Jetpack 之 Lifecycles 原始碼分析

LifecycleOwner LifecycleOwner 是單一方法介面,實現此介面表明此類具有生命週期 Lifecycle。

PHP 原始碼 — intval 函式原始碼分析(演演算法:字串轉換為整形)

文章來源: github.com/suhanyujie/… 作者:suhanyujie 基於PHP 7.3.3 PHP 中的 intval intval 函式的簽名從官方檔案可見:

spring cloud feign擴充套件點及原理(原始碼)分析

背景 遠端呼叫實現技術方案中,spring cloud openfeign可以說是入門簡單,使用方便。作為spring cloud家族成員,它的使用量廣泛。瞭解spring framework,spring boot,spring cloud本身就是一件技術人分內的事。進階路上

SpringIOC容器解決迴圈依賴原始碼分析

spring的ioc來解決迴圈依賴的問題,從AbstractBeanFactory#getBean方法來進行原始碼分析,spring的解決迴圈依賴的原理,可以從三個本地快取Map集合進行調解,本篇文章打算從迴圈依賴的定義來解釋,在結合原始碼進行分

7. SOFAJRaft原始碼分析—如何實現一個輕量級的物件池?

前言 我在看SOFAJRaft的原始碼的時候看到了使用了物件池的技術,看了一下感覺要吃透的話還是要新開一篇文章來講,內容也比較充實,大家也可以學到之後運用到實際的專案中去。

之江實驗室kubeedge原始碼分析

Java 基礎:String 類原始碼分析

String 類實現介面屬性1、私有屬性私有類 CaseInsensitiveComparatorString 構造方法1、無參建構函式2、引數為 String 型別3、引數為字元陣列4、引數為 int 陣列5、引數為位元組陣列6、引數為 StringBuilder 或 Str

kubeedge原始碼分析系列之整體架構

本系列的原始碼分析是在 commit da92692baa660359bb314d89dfa3a80bffb1d26c 之上進行的。 kubeedge是一個基於kubernetes構建的開放平臺,使能邊緣計算,將容器化應用編排功能擴充套件到邊緣的節點和裝置,併為雲和邊

SpringBoot啟動流程原始碼分析(1)

SpringApplication例項化 springboot簡化spring的大量xml的配置檔案,為了實現統一化配置管理,一般引數配置

【原創】005 | 搭上SpringBoot請求處理原始碼分析專車

專車介紹 該趟專車是開往Spring Boot請求處理原始碼分析專車,主要用來分析Spring Boot是如何將我們的請求路由到指定的控制器方法以及呼叫執行。

ArrayList常用API原始碼分析

3.1、ArrayList 簡介: 底層是可改變大小的陣列結構,實現了list介面,執行緒不安全,可以加入null元素,元素有序,允許重複。適合查詢,不適合指定位置的插入(adding n elements requires O(n) time)、刪除操作。

kubeedge原始碼分析系列之edgecore(五)

本系列的原始碼分析是在 commit da92692baa660359bb314d89dfa3a80bffb1d26c 之上進行的。 cloudcore部分的原始碼分析是在kubeedge原始碼分析系列之整體架構基礎上展開的,如果沒有閱讀過kubeedge原始碼分析系列之整體

AQS原始碼分析及核心方法解析

1 概述 AQS提供了一個基於FIFO佇列實現鎖和同步器的基本框架。 j.c.u中使用AQS的類有: