suricata 源码分析之行锁

已于 2022-10-15 22:37:57 修改
阅读量2k 收藏 6
点赞数 1
CC 4.0 BY-SA版权
分类专栏: suricata 文章标签: suricata 源码 哈希表 行锁 高并发
于 2017-03-18 22:35:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/guoguangwu/article/details/63318277
本文探讨了Suricata在多线程环境下采用细粒度行级锁和节点锁优化链式哈希表访问效率的方法。通过对suricata源码的分析,详细介绍了行级锁在连接管理模块的应用及其实现细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

     此博客讨论的是在多线程下链式哈希表的行锁的使用,主要是针对对哈希表的表锁,二者各有优缺点。

     表锁哈希表,只有一把锁,内存少,实现简单,但是在并发访问时,效率极其低下;

     行级锁哈希表则每一行都有一把锁,内存开销大,实现复杂,但是在大并发,高效率的后台服务程序中使用非常广泛。suricata就声称自己可以处理万兆网络,这和多线程架构和更细粒度的锁的机制是分不开的。

     在上大学的时候了解过数据库,听过老师讲过行级锁,头脑中有这个概念,没有看过源码,也没有实现过。在去年阅读suricata源码时,一次偶然的机会看到the hash row lock,心中有种莫名冲动,觉得这个应该就是大名鼎鼎的行锁。怀着激动的心情去看代码实现。

     先解释一下为什么suricata为什么会使用到行锁,suricata针对snort单线程处理数据包,无法很好利用多核cpu的劣势,开发了多线程架构方式并发处理数据包,而很多数据是线程间共享,所以在很多地方使用行级锁哈希表等其他高效数据结构。第一个行锁使用的地方就是连接管理模块(哈希表,检索速度O(1))

      此源码版本为3.0.1,官网:https://suricata-ids.org/

     连接管理的哈希表:FlowBucket *flow_hash。其为链式哈希表,其定义如下

typedef struct FlowBucket_ {
    Flow *head; /* 链表头*/
    Flow *tail;/* 链表尾*/
    /* 行锁类型*/
#ifdef FBLOCK_MUTEX
    SCMutex m;
#elif defined FBLOCK_SPIN
    SCSpinlock s;
#else
    #error Enable FBLOCK_SPIN or FBLOCK_MUTEX
#endif
} __attribute__((aligned(CLS))) FlowBucket;


typedef struct Flow_
{
...
/* 节点锁,提高并发*/
#ifdef FLOWLOCK_RWLOCK
    SCRWLock r;
#elif defined FLOWLOCK_MUTEX
    SCMutex m;
#else
    #error Enable FLOWLOCK_RWLOCK or FLOWLOCK_MUTEX
#endif
...
    /* 由hnext hprev 构成双向链表 */
    /** hash list pointers, protected by fb->s */
    struct Flow_ *hnext; /* hash list */
    struct Flow_ *hprev;
...
} Flow;


flow_hash是一个数组,每个FlowBucket 元素由 head 、tail和flow的hnext、hprev 构成一个双向链表,也就是所谓的行。该哈希的行数由配置文件或者默认值决定(flow_config.hash_size)
代码如下:
flow_hash = SCCalloc(flow_config.hash_size, sizeof(FlowBucket));
使用接口如下:
FlowGetFlowFromHash:通过数据包的信息获取连接,如果哈希表中没有,则创建flow;
FlowLookupFlowFromHash:通过数据包的信息查找连接,不会创建;

FlowGetFlowFromHash函数其主要流程是:

先计算出该数据包对应的flow的哈希值,然后通过哈希值去定位到某一行,再对该行加锁,此时,flow_hash的其他行可以访问的,

如果这一行不为空,再去遍历者这个链表(行),如果已经存在,对该链表节点加锁、解锁行锁返回,如果没有创建节点插入链表,对该链表节点加锁、解锁行锁返回,

如果这一行为空,创建节点插入链表,对该链表节点加锁、解锁行锁返回。

FlowLookupFlowFromHash函数其主要流程是:

先计算出该数据包对应的flow的哈希值,然后通过哈希值去定位到某一行,再对该行加锁,此时,flow_hash的其他行可以访问的,

如果这一行为空,解锁行锁返回,

如果这一行不为空,再去遍历者这个链表(行),如果已经存在,对该链表节点加锁、解锁行锁返回,如果没有,解锁行锁返回

以上两个函数的返回成功的话,会对该节点加锁保护,也是用来并发访问;并且都会将当前的这个节点放在该行的第一个节点,

作为缓存假定其为最活跃的、近期最可能被访问的内容。

源码如下:

Flow *FlowGetFlowFromHash(ThreadVars *tv, DecodeThreadVars *dtv, const Packet *p)
{
    Flow *f = NULL;
    FlowHashCountInit;

    /* get the key to our bucket */
    uint32_t hash = FlowGetHash(p); /* 连接的哈希值*/
    /* get our hash bucket and lock it */
    FlowBucket *fb = &flow_hash[hash  % flow_config.hash_size]; /* 根据连接的哈希值去定位对应的行*/
    /* 这个就是关键所在, 这就是对这一行(链表)加锁代码,而不是对整个哈希表进行加锁,可以提高并发 */
    FBLOCK_LOCK(fb);

    SCLogDebug("fb %p fb->head %p", fb, fb->head);

    FlowHashCountIncr;

    /* see if the bucket already has a flow */
    if (fb->head == NULL) {
        /* 如果哈希表的这一行为空表明这个链表还没有元素,则获取一个flow节点,如果该节点返回成功,则该节点被节点锁加锁,然后初始化,返回前将行锁解锁*/
        f = FlowGetNew(tv, dtv, p);
        if (f == NULL) {
            FBLOCK_UNLOCK(fb);
            FlowHashCountUpdate;
            return NULL;
        }

        /* flow is locked */
        fb->head = f;
        fb->tail = f;

        /* got one, now lock, initialize and return */
        FlowInit(f, p);
        f->flow_hash = hash;
        f->fb = fb;

        /* update the last seen timestamp of this flow */
        COPY_TIMESTAMP(&p->ts,&f->lastts);

        /* 行锁解锁 */
        FBLOCK_UNLOCK(fb);
        FlowHashCountUpdate;
        return f;
    }

    /* ok, we have a flow in the bucket. Let's find out if it is our flow */
    /* 该行有元素 则遍历该链表查找对应的flow*/
    f = fb->head;

    /* see if this is the flow we are looking for */
    /* 该行的第一个元素是否是要查找的flow,0表示不是,1表示是*/
    if (FlowCompare(f, p) == 0) {
        Flow *pf = NULL; /* previous flow */


       /* 遍历该链表,进行查找packet 对应的flow。若未有,则调用FlowGetNew创建,剩余部分与上面的代码基本一致*/
        while (f) {
            FlowHashCountIncr;

            pf = f;
            f = f->hnext;

            if (f == NULL) {
                /*若调用成功, 节点加锁 */
                f = pf->hnext = FlowGetNew(tv, dtv, p);
                if (f == NULL) {
                    FBLOCK_UNLOCK(fb);
                    FlowHashCountUpdate;
                    return NULL;
                }
                fb->tail = f;

                /* flow is locked */

                f->hprev = pf;

                /* initialize and return */
                FlowInit(f, p);
                f->flow_hash = hash;
                f->fb = fb;

                /* update the last seen timestamp of this flow */
                COPY_TIMESTAMP(&p->ts,&f->lastts);


                 /* 行解锁 */
                FBLOCK_UNLOCK(fb);
                FlowHashCountUpdate;
                return f;
            }

            if (FlowCompare(f, p) != 0) {
                /* we found our flow, lets put it on top of the
                 * hash list -- this rewards active flows */
                /* 找到,链表插入到链表头操作,暗示该节点很有可能在短时间内是活跃的,会被经常查找,用来提高效率 */
                if (f->hnext) {
                    f->hnext->hprev = f->hprev;
                }
                if (f->hprev) {
                    f->hprev->hnext = f->hnext;
                }
                if (f == fb->tail) {
                    fb->tail = f->hprev;
                }

                f->hnext = fb->head;
                f->hprev = NULL;
                fb->head->hprev = f;
                fb->head = f;

                /* found our flow, lock & return */
                /* 节点加锁 */
                FLOWLOCK_WRLOCK(f);
                /* update the last seen timestamp of this flow */
                COPY_TIMESTAMP(&p->ts,&f->lastts);


                 /* 行解锁 */
                FBLOCK_UNLOCK(fb);
                FlowHashCountUpdate;
                return f;
            }
        }
    }

    /* lock & return */
   /* 节点加锁 */
    FLOWLOCK_WRLOCK(f);
    /* update the last seen timestamp of this flow */
    COPY_TIMESTAMP(&p->ts,&f->lastts);

     /* 行解锁 */
    FBLOCK_UNLOCK(fb);
    FlowHashCountUpdate;
    return f;
}


查找接口比查找并插入接口(也就是上面的函数)简单,具体如下:

Flow *FlowLookupFlowFromHash(const Packet *p)
{
    Flow *f = NULL;

    /* get the key to our bucket */
    uint32_t hash = FlowGetHash(p); /* 连接的哈希值*/
    /* get our hash bucket and lock it */
    FlowBucket *fb = &flow_hash[hash  % flow_config.hash_size];/* 根据连接的哈希值去定位对应的行*/
   /* 行锁 */
    FBLOCK_LOCK(fb); 

    SCLogDebug("fb %p fb->head %p", fb, fb->head);

    /* see if the bucket already has a flow */
    if (fb->head == NULL) {
         /* 未找到, 行解锁 */
        FBLOCK_UNLOCK(fb);
        return NULL;
    }

    /* ok, we have a flow in the bucket. Let's find out if it is our flow */
    /* 该行有元素 则遍历该链表查找对应的flow*/
    f = fb->head;

    /* see if this is the flow we are looking for */
    /* 该行的第一个元素是否是要查找的flow,0表示不是,1表示是*/
    if (FlowCompare(f, p) == 0) {
        while (f) {
            FlowHashCountIncr;

            f = f->hnext;

            if (f == NULL) {
                 /* 行解锁 */
                FBLOCK_UNLOCK(fb);
                return NULL;
            }

            if (FlowCompare(f, p) != 0) {
                /* we found our flow, lets put it on top of the
                 * hash list -- this rewards active flows */
                /* 找到,链表插入到链表头操作,暗示该节点很有可能在短时间内是活跃的,会被经常查找,用来提高效率 */
                if (f->hnext) {
                    f->hnext->hprev = f->hprev;
                }
                if (f->hprev) {
                    f->hprev->hnext = f->hnext;
                }
                if (f == fb->tail) {
                    fb->tail = f->hprev;
                }

                f->hnext = fb->head;
                f->hprev = NULL;
                fb->head->hprev = f;
                fb->head = f;

                /* found our flow, lock & return */
               /* 节点加锁 */
                FLOWLOCK_WRLOCK(f);
                /* update the last seen timestamp of this flow */
                COPY_TIMESTAMP(&p->ts,&f->lastts);
                /* 行解锁 */
                FBLOCK_UNLOCK(fb);
                return f;
            }
        }
    }

    /* lock & return */
    /* 节点加锁 */
    FLOWLOCK_WRLOCK(f);
    /* update the last seen timestamp of this flow */
    COPY_TIMESTAMP(&p->ts,&f->lastts);


    /* 找到, 行解锁 */
    FBLOCK_UNLOCK(fb);
    return f;
}

因此本文讨论的是针对多线程架构下面,在并发访问共享链式哈希表时,应该使用更细粒度的行级锁和节点锁,而不是粗暴型的一把表锁,

但是如果该哈希表如果元素达到千万级别的话,需要使用其他机制来替换这些细粒度的锁,例如innodb的页锁来升级行锁等等机制。

这是本人对suricata中使用行锁的一点浅见,请大家批评指正

入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 5045
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
Suricata之源代码(一)
qianligaoshan的专栏
04-09 3140
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
suricata源码解析
唐装鼠的主页
09-21 1014
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
【网络入侵检测】基于Suricata源码分析应用协议识别实现
最新发布
不断学习,不断进步。
06-24 721
本文聚焦Suricata网络安全引擎的协议解析器实现,详细剖析HTTP、SSL/TLS、FTP、SSH、SMTP等协议的解析流程。
Suricata之源代码(三)
qianligaoshan的专栏
04-13 2914
这次我
Suricata之源代码(二)
qianligaoshan的专栏
04-11 1938
在前面我
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 2843
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 7410
Suricata新增协议解析 个人总结,新增协议解析分3步进 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 1005
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
suricata 源码详细讲解
化茧成蝶007
08-31 1756
从main函数开始 https://my.oschina.net/openadrian/blog/184621
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
Suricata源码解析-开启从小白到小白必经之路
qq_54078539的博客
05-27 548
Suricata源码分析
suricata 3.1 源码分析3
superbfly的专栏
08-30 2959
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
Surciata源码分析之IpsNFQ模式(1)
Firedb的专栏
05-18 7065
最近看了一下suricata-1.2.1的源代码,加之之前在网上没有搜到关于suricata的分析资料,所以就把看源码时的一些笔记整理了一下,发到网上,供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客,不足之处还望看到此文章的网友见谅! 先还是进简要的介绍一下,Suricata 是一个网络入侵检测和阻止引擎,由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多
suricata 3.1 源码分析36 (dns解析获取相关内容)
superbfly的专栏
03-02 1668
在app-layer-dns-udp.c文件的DNSUDPRequestParse函数中调用DNSStoreQueryInState函数,该函数在app-layer-dns-common.c文件中。DNSStoreQueryInState中会取dns信息,包括type, class, name(可以是要查询的host)fqdn指向dns中的name,fqdn_len为name的长度。附dns正文结...
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3599
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
suricata 3.1 源码分析5
superbfly的专栏
09-01 4272
if (PostConfLoadedSetup(&suri) != TM_ECODE_OK) { exit(EXIT_FAILURE); } 执PostConfLoadedSetup,即运那些需要在配置载入完成后就立马执的函数。这里面涉及的流程和函数非常多 /** * This function is meant to contain code that
suricata源码分析
08-12
2. 规则引擎:Suricata的规则引擎是其核心功能之一,对其源码分析需要了解规则引擎的设计思路和实现方式,包括规则的加载、匹配和执等过程。 3. 异步处理:Suricata使用异步处理机制来提高性能,对其源码...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值