suricata初始化流程

最新推荐文章于 2022-01-14 14:31:23 发布
最新推荐文章于 2022-01-14 14:31:23 发布
阅读量693 收藏 3
点赞数
分类专栏: suricata 安全 网络 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/City_of_skey/article/details/104309209
版权
本文详细解析了Suricata的初始化流程,包括运行模式注册、模块注册与初始化、线程创建等关键步骤,深入探讨了这款高性能IDS/IPS系统的内部架构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

                                            suricata初始化流程

1、简介

 suricata是一款高性能的IDS、IPS和网络安全监测引擎。采用多线程模式,利用多核优势。支持多种协议:例如ip4、ip6、TCP、UDP、HTTP、FTP、POP3等协议。可以动态加载过滤规则。

2、main函数流程

 

    (1)调用RunModeRegisterRunModes函数注册运行模式

    RunModeIdsPcapRegister();      // IDS+pcap

    RunModeFilePcapRegister();     // File+pcap

    RunModeIdsPfringRegister();    // IDS+pfring

    RunModeIpsIPFWRegister();      // IPS+ipfw

    RunModeIpsNFQRegister();       // IPS+nfq

    RunModeErfFileRegister();      // erf+file

    RunModeErfDagRegister();       // erf+dag

    RunModeNapatechRegister();     // napatech

    RunModeIdsAFPRegister();       // IDS+AFP

RunModeUnixSocketRegister();   // UnixSocket

每种运行模式调用RunModeRegisterNewRunMode注册,

RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "single",

                              "Single threaded pcap live mode",

                              RunModeIdsPcapSingle);

运行模式名字、运行模式执行函数、运行模式描述保存到全局数组runmodes。

(2)调用RegisterAllModules注册各模块

/* commanders */

    TmModuleUnixManagerRegister();

.......

模块保存到TmModule tmm_modules[TMM_SIZE];

typedef struct TmModule_ {

    const char *name;

    /** thread handling */

    TmEcode (*ThreadInit)(ThreadVars *, const void *, void **);//线程初始化

    void (*ThreadExitPrintStats)(ThreadVars *, void *);

    TmEcode (*ThreadDeinit)(ThreadVars *, void *);

    /** the packet processing function */

    TmEcode (*Func)(ThreadVars *, Packet *, void *, PacketQueue *, PacketQueue *);

    TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);

    /** terminates the capture loop in PktAcqLoop */

    TmEcode (*PktAcqBreakLoop)(ThreadVars *, void *);

    TmEcode (*Management)(ThreadVars *, void *);

    /** global Init/DeInit */

    TmEcode (*Init)(void); //全局初始化模块函数

    TmEcode (*DeInit)(void);

    void (*RegisterTests)(void);

    uint8_t cap_flags;   /**< Flags to indicate the capability requierment of

                             the given TmModule */

    /* Other flags used by the module */

    uint8_t flags;

} TmModule;

(3)模块初始化,调用TmModuleRunInit()执行TmModule tmm_modules[TMM_SIZE]中的全局初始化模块函数。

(4)RunModeDispatch()函数调用,根据配置获取运行模式,然后根据运行模式执行全局数组runmodes中的运行模式执行函数。

(5)运行模式执行函数

   例如:RunModeFilePcapSingle()

通用模块初始化RunModeInitialize

创建tv实例TmThreadCreatePacketHandler

从tmm_modules中获得模块TmModuleGetByName

插入槽slot

TmThreadSpawn真正创建线程函数

整理下执行顺序:

运行模式注册,设置执行函数

所有模块注册,设置模块相关函数

所有模块初始化

从配置获取运行模式类型,执行函数

创建线程

根据模块名称从全局数组tmm_modules中得到模块指针

插入线程槽slot

开源IDS suricata源码分析(worker模式工作线程初始化及处理流程
m0_50638175的博客
11-27 1405
这里写自定义目录标题开源IDS suricata源码分析(worker模式工作线程初始化及处理流程初始化及处理流程接口调用 开源IDS suricata源码分析(worker模式工作线程初始化及处理流程) 本文主要分析suricata在worker工作模式下,工作线程的初始化及工作线程的处理流程初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
suricata 3.0,日志模块初始化流程
ljq32的专栏
01-06 1710
typedef struct RunModeOutput_ { const char *name; TmModule *tm_module; OutputCtx *output_ctx; TAILQ_ENTRY(RunModeOutput_) entries; } RunModeOutput; TAILQ_HEAD(, RunModeOutput_) RunModeOutputs = TAILQ_HEAD_INITIALIZER(RunModeOutputs); ...
suricata工作流程简介
weixin_30390075的博客
03-01 879
1.suricata 是一个高性能的IDS(入侵检测系统),IPS,网络安全监控引擎。该项目是一个不受益的开源项目。 2.suricata 运行模式 从上图我们可以看出suricata核心有3个模块 1.解码线程:解码线程包括。数据包的分片重组。UDP TCP 等等头部解析 2.detect线程:TCP会话重组。木马检测,协议解析,文件存储,数据包存储等等模块。 其实...
suricata 3.1 源码分析13 (流初始化
superbfly的专栏
09-13 2417
简介Suricata中用于管理和维护流的模块称为Flow Engine,主要由两部分实现,第一部分的入口点是FlowHandlePacket函数,用于为新数据包进行流查找/分配,另一部分是FlowManagerThread线程,用于对超时的流进行删除。初始化 初始化在FlowInitConfig中完成,与之相关的配置结构体为FlowConfig,其字段含义如下: 字段含义hash_rand用于随
suricata 初始化做的那些事儿
xuwaiwai的博客
09-03 3095
suricata 初始化做的那些事
Suricata初始化脚本
weixin_30235225的博客
08-17 108
  见官网 https://suricata.readthedocs.io/en/latest/initscripts.html 转载于:https://www.cnblogs.com/zlslch/p/7384255.html
suricata NFQ模式流程
sinat_41915699的博客
09-26 507
suricata架构——数据结构和代码流程图解
网络安全研究
11-12 7292
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。 数据结构 流程 参考: https://suricata.readthedocs.io http://www.hyuuhit.com/categories/suricata/ https://blog.youkuaiyun.com/weixin_34253126/article/details/86442134 htt...
Suricata检测流程的.so封装与外部程序数据采集
- 初始化接口:用于初始化Suricata的检测引擎和规则集。 - 检测数据传入接口:用于将采集到的数据包传递给Suricata,进行检测。 - 动态规则加载接口:允许外部程序动态加载新的检测规则。 - 销毁接口:用于结束...
suricata 检测流程部分编程成.so,外部程序采集数据并调用此.so,获取检测得到的 alert结果
02-10
只在各个子线程中分别调用libsuri_603.so做初始化和检测功能。 3、封装提供给外部程序调用的动态规则加载接口,这个采用单独的线程。 4、至少提供四个接口,分别为初始化,检测数据传入,动态规则加载接口,Destroy...
suricata 程序架构
m0_38091107的博客
08-09 3934
suricata程序架构运行模式packet流水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
suricata 3.1 源码分析32 (FlowWorker处理流程1)
superbfly的专栏
10-18 3378
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused) { FlowWorkerThreadData *fw = data; /*FlowWorkerThreadInit中初始化,包含大量stats统计指标, decode指标在DecodeThreadV
Suricata的所有运行方式模式(图文详解)
weixin_33850890的博客
08-09 3281
      不多说,直接上干货!     suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列...
suricata程序架构
zrq293的博客
03-31 2325
Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计数据输出,如pcap、json、unified2等,非常便于与Barnyard2等工具集成。 图1 图2 1.运行模式(runmode) Suricata有多种运行模...
suricata 各个线程干的事情 -- WorkerThread
xuwaiwai的博客
01-14 1345
suricata 工作线程的运行流程
suricata架构图
zrq293的博客
03-31 682
suricata 3.1 源码分析2
superbfly的专栏
08-29 2981
这次要说的是一个十分重要的函数RunModeRegisterRunModes();主要是完成运行模式的注册,我们添加的所有运行模式都要通过这个函数注册。下面是它的内部实现。 void RunModeRegisterRunModes(void) { memset(runmodes, 0, sizeof(runmodes));RunModeIdsPcapRegister();
再从main()函数看起 --- 模式、模块、线程和槽
wsk004321的专栏
05-19 1390
经过上面几篇Blog的学习步骤,到今天再回过头去看了下main函数的执行过程,把重点几个步骤重新整理了下,方便更深入的理解架构。 1. 注册各种运行模式    RunModeRegisterRunModes()函数        RunModeIdsPcapRegister();      // IDS+pcap    RunModeFilePcapReg
suricata学习--结构及代码解读
程序狗的成长之路
07-17 7026
《线程、槽和模块之间的关系》 suricata中tv、slot和tm的关系必须要搞清楚,汇总如下: tv:ThreadVars类型,线程。 slot:TmSlot类型,槽。 tm:TmModule类型,模块。 下面必须要结合三者的定义,阅读代码的时候也关注下三者关系。 ----------------------------------------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值