suricata中的线程管理分析

已于 2023-05-25 11:08:27 修改
阅读量379 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Suricata 文章标签: DPI 会话 流表 多线程 suricata
于 2023-05-23 22:31:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/RelaxTech/article/details/130836806

《suricata中DPDK收发包源码分析2》《suricata中command的实现分析和自定义命令方法》中,其实已经涉及到suricata多线程的处理,在开始后面的研究之前,我们有必要先梳理一下suricata中到底存在哪些线程。

在runmodes.c中定义了如下的线程命名,从中大概可以看出suricata存在哪些线程,由于我们重点关注的是DPDK的workers模式收包,所以无关的线程,我们暂时不关注(已在下面的线程名后面标识出来)


/* Runmode Global Thread Names */
const char *thread_name_autofp = "RX"; (DPDK收包没有此线程,不关注)
const char *thread_name_single = "W"; (DPDK收包没有此线程,不关注)
const char *thread_name_workers = "W";
const char *thread_name_verdict = "TX"; (DPDK收包没有此线程,不关注)
const char *thread_name_flow_mgr = "FM";
const char *thread_name_flow_rec = "FR";
const char *thread_name_flow_bypass = "FB"; (DPDK收包没有此线程,不关注)
const char *thread_name_unix_socket = "US";
const char *thread_name_detect_loader = "DL"; (多租户配置multi-detect.enabled开启才用到,暂时不关注)
const char *thread_name_counter_stats = "CS";
const char *thread_name_counter_wakeup = "CW";

所以我们需要关注的线程有6种,见下表:

线程id

线程名称

线程类型

线程入口

tv->tm_func()

slot入口

s->PktAcqLoop

s->SlotFunc

s->Management
最低0.47元/天 解锁文章

200万优质内容无限畅学
[渗透教程]-025-Suricata多线程入侵检测系统
AI拉呱,专注于人工智与网络安全方面的研究,关注一起学习。
03-06 330
Suricata 是由 OISF(开发信息安全基金会)开发,它也是基于签名,但是集成了创新的技术。该引擎嵌入了一个 HTTP 规范化器和分析器(HTP 库),可提供非常先进的 HTTP 处理,从而能够在 OSI 模型的第七层(应用层)上解析量。Suircata 是一款支持 IDS 和 IPS 的多线程入侵检测系统,与传统 Snort 相比,Suircata 的多线程和模块化设计上使其在效率和性能上超过了原有 Snort,它将 CPU 密集型的深度包检测工作并行地分配给多个并发任务来完成。
suricata 程序架构
m0_38091107的博客
08-09 3962
suricata程序架构运行模式packet水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
suricata中DPDK收发包线程模型和配置说明
每天分享一个编程小知识
05-11 1265
suricata中DPDK的收发包线程模型以及相关的配置。
基于DPDK收包的suricata的安装和运行
每天分享一个编程小知识
03-30 2245
先用lshw -C network -businfo命令找到网卡的pcie地址,然后在/usr/local/etc/suricata/suricata.yaml文件中配置suricata DPDK收包,主要修改interface和copy-iface配置。suricata是一个基于规则的入侵检测和防御引擎,功能强大,但性能可能 差强人意,不过目前最新的7版本已经支持DPDK收包了,DPDK是Intel提供的高性能网络收发包开源库,可想而知,suricata支持DPDK收包会带来性能的极大提升。
Suricata与DPDK高性能数据包捕获技术详解
最新发布
gitblog_00184的博客
06-08 371
Suricata与DPDK高性能数据包捕获技术详解 引言 在现代网络安全领域,高性能数据包处理能力至关重要。Suricata作为一款开源的网络威胁检测引擎,通过与DPDK(Data Plane Development Kit)技术的集成,实现了突破性的性能提升。本文将深入探讨Suricata如何利用DPDK实现高效数据包捕获,以及相关的高级配置技巧。 DPDK基础概念 DPDK是一套用于数据平面开...
DPDK AF_XDP
奋斗中拥有
05-26 4978
DPDK AF_XDP AF_XDP 是 kernel v4.18+ 新加入的一个协议族(如AF_INET), 主要使用 XDP 实现(下图是 XDP 的基本原理图). 核心原理是在 kernel NAPI poll 位置(网卡驱动内部实现, 为内核最早RX数据包位置)运行 BPF 程序, 通过不断调用 poll 方法, 最终将数据包送到正确的XDP程序处理. XDP 支持 3 种工作模式: Native XDP -运行在网卡驱动实现的 poll 函数中, 需网卡驱动支持; Offloaded X
基于DPDK抓包的Suricata安装部署
lingshengxiyou的博客
04-11 806
基于DPDK抓包的Suricata版本只更新到4.1.4,因此对DPDK版本有要求,经过测试推荐使用 DPDK-19.11.14。由于服务器开关机会导致DPDK绑定的网卡会被默认解绑,为简化重新机械的绑定工作,通过shell脚本实现自动化DPDK绑定网卡。DPDK官网下载地址:http://fast.dpdk.org/rel/dpdk-19.11.14.tar.gz。7 [root@ids-dpdk ~]# ls /usr/src/kernels/ #查看有没有相应的内核开发包。
阿里云用DPDK如何解决千万级量并发
linuxguitu的博客
12-02 606
知识点详解: 1. Linux虚拟网卡的实现 2. DPDK的KNI讲解 3. DPDK的项目实战 阿里云用DPDK如何解决千万级量并发
Suricata:开源网络分析和威胁检测
网络研究观
10-02 600
Suricata 是由 OISF 和 Suricata 社区开发的网络入侵检测系统、入侵防御系统和网络安全监控引擎。
开源IDS suricata源码分析(worker模式工作线程初始化及处理程)
m0_50638175的博客
11-27 1418
这里写自定义目录标题开源IDS suricata源码分析(worker模式工作线程初始化及处理程)初始化及处理程接口调用 开源IDS suricata源码分析(worker模式工作线程初始化及处理程) 本文主要分析suricata在worker工作模式下,工作线程的初始化及工作线程的处理程。 初始化及处理程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
linux配置内存大叶,DPDK-Suricata应用部署
weixin_29010003的博客
05-09 947
DPDK安装部署1、 DPDK下载下载dpdk-stable-18.02.2.tar.gz并解压,进入解压后dpdk目录下。2、 设置环境变量export RTE_SDK=$PWD,exportRTE_TARGET=x86_64-native-linuxapp-gcc。建议在/etc/profile中设置,设置完后执行source /etc/profile永久生效。可执行echo$RTE_SDK进...
Intel_DPDK_DeepDive
08-03
intel dpdk开发参考
suricata 3.1 源码分析31 (RespondReject)
superbfly的专栏
10-14 2095
简介 RespondReject工作在worker线程,在FlowWorker模块之后对数据包进行处理。此处主要的作用是直接对符合过滤规则的数据包进行阻断并回复,从而使得数据包不会入后续的操作模块。个人理解这点在IPS模式时会十分有用,可以阻断网络攻击、爬虫等。原码分析 函数RespondRejectFunc只支持IPv4和IPv6的数据包回复,因此其中只调用了4个函数:RejectSendI
Suricata6.0管理源码注释四:的建立02
ljq32的专栏
01-08 694
的建立02,FlowGetNew
网络入侵检测系统之Suricata(四)--初始化模块代码详解
诗酒趁年华
02-03 2316
initial Module 初始化程 初始化Suricata instance 用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数 memset(suri, 0x00, sizeof(*suri)); // pointer to argv[0] suri->progname = progname; //运行模式 suri->run_mode = RUNMODE_UNKNOWN; memset(suri->pcap_dev, 0, sizeof(
suricata 各个线程干的事情 -- FlowRecyclerThread
xuwaiwai的博客
01-20 507
suricata 各个线程干的事情 -- FlowRecyclerThread,管理超时线程
suricata6 workers
唐装鼠的主页
06-07 819
suricata6 数据包处理
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4794
suricata 各个线程的作用 -- 主线程
Suricata规则分析与tcmalloc使用详解
- **Tcmalloc**是Google为perftools套件开发的一个内存分配库,特别适用于多线程环境,能够提高Suricata的内存管理和性能。 - **安装**:在Ubuntu上,可以通过`apt-get install libtcmalloc-minimal0`安装;在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值