唐装鼠的主页

gvmd没有使用redis，而是使用pg数据库。就是说，gvmd负责持久化的存储，ospd-openvas负责转发任务，而openvas负责执行扫描任务。gvmd会将扫描配置和扫描结果存储在pg数据库中。gvmd和ospd-openvas的通信是通过ospd unix socket服务, 内容格式是xml。gvmd接收GMP协议的扫描请求，构建xml，转发给ospd-openvas进行扫描。ospd-openvas和openvas的通信是通过redis和命令行。

官方参考链接：http://wiki.opalvoip.org/index.php?n=Main.BuildingPTLib

pcpp++ windows 编译cmake-3.13.0-win32-x86.msimingw32 i686版本npcap库编译安装mingw32，将bin目录添加到PATH路径安装cmake，将编译

DPDK VersionSupported Linux Kernel Version17.113.10 - 4.1418.113.10 - 4.1819.113.10 - 5.420.114.19 - 5.1021.085.4 - 5.10

【代码】tshark libpcap模式代码解析。

它们互相配合，协同完成了一系列复杂的工作，使得 Wireshark 可以深入剖析网络流量的细节，并为用户提供丰富的分析功能。同时，所有相关的 epan_dissect_t 结构体会共同构成一个全局的 epan_t 结构体，以反映当前 Wireshark 的分析状态。因此可以说，epan_dissect_t 负责处理单个数据包的具体分析细节，而 epan_t 则负责在整个会话过程中协调和管理这些细节，使得 Wireshark 可以正确地进行复杂的网络数据包分析。

nspr直接交叉编译make时会报错，原因：交叉编译生成了目标平台的nsinstall，而make要在当前平台执行nsinstall。

On-Access Scanning，需要先启动clamd，clamonacc相当于实时保护功能。clamav有clamd、clamscan、clamdscan、clamonacc等命令。在calmd启动后，直接调用clamdscan可以快速检测文件。clamscan直接检测文件。

初始化suricata实例：程序名设置为程序文件名，其他变量复位。

参照文件INSTALL.md。

pcre正则表达式shell语法automakeautogen.shautogen.sh和autoreconf单模匹配、多模匹配AC算法radix tree(IP查找)

例如，可以使用tenant_id来过滤或标记特定租户的流量，或者在规则中使用tenant_id来定义特定租户的检测规则。通过使用不同的tenant_id，Suricata可以将不同租户的流量进行区分和隔离，以便进行适当的分析和处理。通过将流量与特定的租户或实体相关联，可以基于tenant_id来定义和应用不同的安全策略，例如限制特定租户的访问权限或应用特定的规则集。通过将流量关联到特定的租户或实体，可以更好地理解和识别不同实体的网络行为，例如检测特定租户的异常活动或生成定制的报告。

原因：DPDK通过rte_mempool_ops_table.ops来存储当前应用支持的mempool，这些mempool是跟编译时连接的librte_mempool库有关系的。但是，DPDK是通过rte_mempool的ops_index成员来表示自己是用的哪个实现，而主从进程相同rte_mempool的ops_index是相同的。stack\lcore：stack_lcore内存池是一种特殊的内存池实现方式，它与特定的lcore（逻辑核心）相关联。heap内存池适用于需要动态分配和释放内存的应用程序。

【代码】suricata6 detect。

主从进程必须用同样的–file-prefix参数，否则会报错。主进程如果写错–file-prefix参数，初始化内存将会失败，错误信息：EAL: FATAL: Cannot init memzone。从进程如果写错–file-prefix参数，版本校验将会失败，错误信息：Primary and secondary process DPDK version mismatch。主进程启动后会在目录/run/dpdk目录下创建一个以–file-prefix参数值命名的目录，这个目录就是prefix。

suricata6 数据包处理流程

首先，rte_ring_enqueue函数可能会阻塞，直到有空间可用于将数据包添加到环形缓冲区中。如果环形缓冲区已满，则rte_ring_enqueue函数将阻塞，直到有空间可用。如果没有足够的空间可用于添加数据包，则程序可能会卡在rte_ring_enqueue函数。例如，程序是否正确地初始化了环形缓冲区，并在调用rte_ring_enqueue函数之前检查了缓冲区是否已满。另一个可能的原因是，程序可能会在调用rte_ring_enqueue函数之前或之后发生了内存泄漏或其他错误。

在suricata bypass模式下，网络流量将通过一个网络设备，例如一个网络中继器或一个网络交换机，然后再传递到Suricata实例进行处理。suricata bypass模式是一种特殊的收包模式，用于在Suricata实例和网络之间插入一个网络设备，以便在不影响网络流量的情况下对流量进行检测和处理。需要注意的是，suricata bypass模式需要特殊的硬件支持，例如支持网络中继器模式的网络设备。以下回答来自于GPT-3.5。

pre_live_devices：临时存储devicelive_devices：存储最终的device。

例如，如果您在Linux系统上运行Suricata，并且想要捕获本地网络接口上的数据包，则应使用AF_PACKET模式。如果您在防火墙上运行Suricata，并且想要捕获经过防火墙的数据包，则应使用NFQUEUE或IPFW模式。它适用于在Linux系统上运行的Suricata实例，可以捕获经过Linux防火墙的数据包。它适用于在Linux系统上运行的Suricata实例，可以捕获本地网络接口上的数据包。此模式还支持混杂模式，可以捕获网络上的所有数据包，而不仅仅是发送到本地接口的数据包。

调整空闲flow数量，空闲flow总数少于预配置的flow个数的90%则补齐，空闲flow总数多于预配置flow个数的110%则释放。FlowSparePool初始化flow_config.prealloc个(配置节点flow.prealloc)；FlowQueuePrivate初始化flow_spare_pool_block_size=100个。

WinpCap安装：(一) 首先安装winpcap驱动，可以到winpcap官方网站上下载：http://www.winpcap.org/install/default.htm安装winpcap驱动后:1. C:\WINDOWS\system32目录下自动生成: wpcap.dll，packet.dll2. C:\WINDOWS\system32\drivers下自动生成: