suricata的flow流会话管理分析1

深入解析Suricata中的流管理机制
最新推荐文章于 2025-05-29 11:57:57 发布
原创 最新推荐文章于 2025-05-29 11:57:57 发布 · 928 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#suricata #流表 #会话表

《suricata中的线程管理分析》一文中,我们看到suricata中有FlowWorker和FlowManager两个线程来处理流表,说明流表的实现应该不简单,果然,看了流相关的这块代码后,发现确实有点复杂,代码估计得慢慢坑,今天我们就来个对流表的初步分析,细节上咱们先放一放。

1、流表数据结构的初始化:

流表的初始化在FlowInitConfig函数中,函数调用栈如下:

main
    -->SuricataMain
        -->PostConfLoadedSetup
            -->PreRunInit
                -->FlowInitConfig(流相关数据结构初始化)
                    -->FlowQueueInit(flow_recycle_q流回收队列初始化)
                    -->FlowSparePoolInit(flow_spare_pool流节点预分配链表初始化)
                    -->FlowInitFlowProto(设置不同协议不同状态的超时时间)

FlowInitConfig主要是读取配置,对流表的配置结构体FlowConfig flow_config进行初始化、flow_recycle_q流回收队列初始化、flow_spare_pool流节点预分配链表初始化以及给不同协议不同状态设置不同的超时时间。

flow_spare_pool流节点预分配链表会根据配置事先分配一定数量的flow节点,这些flow节点按比例挂在flow_spare_pool链表的每个节点上。创建流表时,先优先从这些节点上获取flow。

2、收包线程FlowWorker模块对流表的处理:

收包线程FlowWorker模块对流表进行处理的函数调用栈如下:

FlowWorker
    -->FlowHandlePacket
        -->FlowGetFlowFromHash
            -->FlowGetNew(新建流)
                -->FlowQueuePrivateGetFromTop(从flow_spare_pool中申请流)
                -->FlowAlloc(flow_spare_pool不够,直接alloc申请)
            -->MoveToWorkQueue(已有流超时的,从哈希桶中删除,并放入work_queue或者evicted链表)
    -->FlowWorkerProcessInjectedFlows(取出flow_queue中的flow放入到work_queue)
    -->FlowWorkerProcessLocalFlows
        -->CheckWorkQueue
            -->FlowClearMemory(清除流信息)
            -->FlowSparePoolReturnFlow(将流归还到flow_spare_pool中)

流表的哈希表本身并不复杂,所有的流节点都是通过全局的FlowBucket *flow_hash哈希桶管理起来的,哈希桶的大小就是FlowInitConfig的hash_size,收包线程收到报文后,根据报文的流的哈希值(以五元组+vlan为key),先查流表,如果没有就创建流表项,如果有就找到对应的流节点。

这里面复杂的几个地方如下:

1)如果包对应的哈希链没有节点,需要获取流节点:先从上面讲到的flow_spare_pool链表中获取,获取不到就看能不能重用,不能重用就直接调用alloc自己创建一个节点。

2)如果哈希链有节点,则遍历链,看有没有超时的,超时就从哈希链中删除,放入work_queue或者evicted链表

3)从flow_queue中取出flow放入到work_queue,flow_queue是FlowManager线程处理时,发现的超时流需要重组时放入的

4)检查work_queue,清楚流节点信息,将流归还到flow_spare_pool链表中。

关键代码加注释如下:

Flow *FlowGetFlowFromHash(ThreadVars *tv, FlowLookupStruct *fls, Packet *p, Flow **dest)
{
    Flow *f = NULL;

/* get our hash bucket and lock it */
const uint32_t hash = p->flow_hash;  //Decode协议解码时已经计算好的哈希值
    FlowBucket *fb = &flow_hash[hash % flow_config.hash_size]; //查找到对应的哈希链
    FBLOCK_LOCK(fb); //每个哈希链一个锁

    SCLogDebug("fb %p fb->head %p", fb, fb->head);

/* see if the bucket already has a flow */
if (fb->head == NULL) {  //哈希链为空
        f = FlowGetNew(tv, fls, p); //新建流
if (f == NULL) {
            FBLOCK_UNLOCK(fb);
return NULL;
        }

/* flow is locked */
        fb->head = f;

/* got one, now lock, initialize and return */
        FlowInit(f, p);
        f->flow_hash = hash;
        f->fb = fb;
        FlowUpdateState(f, FLOW_STATE_NEW);

        FlowReference(dest, f); //给包的流指针赋值

        FBLOCK_UNLOCK(fb);
return f;
    }

const bool emerg = (SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY) != 0;
const uint32_t fb_nextts = !emerg ? SC_ATOMIC_GET(fb->next_ts) : 0;
/* ok, we have a flow in the bucket. Let's find out if it is our flow */
    Flow *prev_f = NULL; /* previous flow */
    f = fb->head;
do {  //遍历哈希桶fb
        Flow *next_f = NULL;  //先判断每个flow节点是否超时
const bool timedout = (fb_nextts < (uint32_t)SCTIME_SECS(p->ts) &&
                               FlowIsTimedOut(f, (uint32_t)SCTIME_SECS(p->ts), emerg));
if (timedout) {
            FLOWLOCK_WRLOCK(f);
            next_f = f->next;  //超时Flow从Flow哈希表中移除
            MoveToWorkQueue(tv, fls, fb, f, prev_f);
            FLOWLOCK_UNLOCK(f);
goto flow_removed;
最低0.47元/天 解锁文章
Suricata网络入侵检测系统中TCP重组的实现详解
YtyVerilog的博客
09-17 896
Suricata检测到TCP连接的开始时,它会创建一个新的TCP对象,并将相关的数据包添加到该对象中。随着数据包的到达,Suricata会根据TCP段的序列号将数据包按顺序组装到TCP对象中,从而实现TCP重组。其中,TCP重组是Suricata的一个重要功能,用于在网络量中重新组装TCP数据,以便进行有效的分析和检测。TCP重组是Suricata网络入侵检测系统的重要功能之一。本文详细介绍了Suricata中TCP重组的实现原理,并提供了一个简化的源代码示例,帮助读者理解和实践TCP重组功能。
Suricata配置文件说明1
Traxer的学习之路
04-21 6547
本系列文章是Suricata官方文档的翻译加上自己对其的理解,部分图片也是来自那篇文章,当然由于初学,很多方面的理解不够透彻,随着深入后面会对本文进行一定的修正和完善。Suricata使用Yaml作为其配置文件的格式,关于Yaml可以参考YAML-维基百科。其中Suricata默认的配置文件是suricata.yaml,以硬编码的形式写在源代码中,当然也可以在执行的时候添加-c+指定位置的yaml文
网络入侵检测系统之Suricata(一)
诗酒趁年华
12-25 4309
What is Suricata Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎 系统功能包括:实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理 Suricata依靠强大的可扩展性的规则和特征语言过滤网络量,并支持LUA脚本语言 输出文件格式为YAML或JSON,方便与其他数据库或安全数据分析平台集成 Suricata采用社区驱动开发,有利于版本的维护和新特性的迭代 Features IDS / IPS 完善的特征语言用于描述已知的威
suricata 流管理
10-31 777
suricata 流管理
suricata -- 流管理系统
xuwaiwai的博客
02-16 6681
suricata中使用 Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
Suricata6.0管理源码注释四:的建立02
ljq32的专栏
01-08 730
的建立02,FlowGetNew
suricata中的线程管理分析
每天分享一个编程小知识
05-23 437
在runmodes.c中定义了如下的线程命名,从中大概可以看出suricata存在哪些线程,由于我们重点关注的是DPDK的workers模式收包,所以无关的线程,我们暂时不关注(已在下面的线程名后面标识出来)一文中,我们讲到了suricata中如何自定义命令,现在我们来实践一下,加入threads-list和slots-list这两个自定义命令,分别查看suricata的线程列以及指定线程的slots。有问题或者需要自定义命令源码的朋友,可以进网络技术开发交群提问(先加我wx,备注加群)。
Suricata6.0管理源码注释三:的建立01
ljq32的专栏
01-08 3011
建立
【网络入侵检测】基于Suricata源码分析FlowWorker实现
最新发布
不断学习,不断进步。
05-29 970
本文主要基于 Suricata 开源项目源码,深入剖析其核心模块之一 ——处理模块 FlowWorker的完整实现程。作为网络分析与入侵检测的关键组件,FlowWorker 承担着连接跟踪、状态管理、数据重组及检测调度等核心功能。
suricata管理-新建
qq_41167620的博客
01-11 542
FlowGetFlowFromHash分为三部分,空的状态处理,与数据包完成hash匹配为数据包关联对应的FlowWoker接口中处理每个数据包,通过FlowHandlePacket完成对每个数据包的匹配和新建工。2)匹配到对应的,把这个节点放在头部,并判断节点是否为待关闭状态(配置新的)3、如果第一条就是匹配的,判断节点是否为待关闭状态(配置新的1)下一节点为空,拿一个新的节点放在头部。2、如果中有数据且头节点不匹配数据包。
suricata 3.1 源码分析16 (流管理1
superbfly的专栏
09-19 2180
suricata.c的main函数执行完RunModeDispatch之后会在判断是否使用UNIX_SOCKET中调用FlowManagerThreadSpawn创建流管理线程。/** \brief spawn the flow manager thread */ void FlowManagerThreadSpawn() { #ifdef AFLFUZZ_DISABLE_MGTTHREADS
suricata源码之-管理
村中少年的专栏
06-20 1907
suricata中的管理,包括初始化,的新建以及的老化
Suricata-7.0 源码分析建立FlowWorker
wenze123的博客
01-20 1860
Suricata-7.0 FlowerWorker 建立
开源IDS suricata源码分析Flow管理程)
m0_50638175的博客
09-28 1775
Suricata Flow管理 suricata 使用Flow结构维护会话信息,代码中维护了Flow哈希),Flow空闲队列,Flow回收队列三个结构,用于存储不同状态的Flow。 参与维护Flow结构的线程 FlowManager 从中摘除超时的放入回收队列 检查空闲队列长度是否为预设值,若过长则释放一部分,若过短则申请一部分 FlowRecyler 从回收队列中摘除Flow,调用注册输出模块的回掉,清空Flow信息,插入回收队列 FlowWorker 对于新到达的包,在
suricata 3.1 源码分析17 (流管理2)
superbfly的专栏
09-20 1778
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //
suricata 3.1 源码分析32 (FlowWorker处理1
superbfly的专栏
10-18 3418
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused) { FlowWorkerThreadData *fw = data; /*FlowWorkerThreadInit中初始化,包含大量stats统计指标, decode指标在DecodeThreadV
suricata 3.1 源码分析34 (FlowWorker处理程3 - 重用)
superbfly的专栏
12-30 2066
上一章提到了一个重用的概念,这里主要说一下。根据code,所谓重用仅仅重用了的thread_id。其他内容都是新建得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的可以被重用。//这就是判断包所属的是否能重用的函数 int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *t
suricata 3.1 源码分析33 (FlowWorker处理程2 - FlowHandlePacket)
superbfly的专栏
12-27 2565
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricata 3.1 源码分析35 (FlowWorker处理程4 - 重用函数)
superbfly的专栏
12-30 1605
static Flow *TcpReuseReplace(ThreadVars *tv, DecodeThreadVars *dtv, FlowBucket *fb, Flow *old_f, const uint32_t hash, const Packet *p) { /*
基于Wireshark与Suricata的网络威胁协同分析工具实现
Wireshark与Suricata结合分析是一种极具实战价值的网络安全量深度检测方案,其核心思想是将Wireshark强大的协议解析能力与Suricata卓越的入侵检测和威胁识别能力进行有机整合,从而构建一个集数据包捕获、协议解码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值