Suricata之源代码(一)

最新推荐文章于 2025-05-29 11:57:57 发布
原创 最新推荐文章于 2025-05-29 11:57:57 发布 · 3.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #信息安全 #开源 #c语言 #源代码

本文深入剖析Suricata的源代码,首先介绍了Suricata的工作流程,强调DetectEngineCtx结构体的重要性,将其比喻为系统的核心。接着详细讲解了从main函数开始的启动过程,特别是RunModeIpsNFQRegister函数在IPS模式下的功能,包括ReceiveNFQ、Decode、StreamTcp、Detect和Verdict等模块的连接。文章通过代码实例展示了如何将各个模块串联起来,并以多线程方式处理网络数据包。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        第一次系统性的写blog,写的不好,请大家多多包涵。

        在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ctx比喻为火柴。在suricata中也是这样,最后通过global_de_ctx将suricata运行起来的。就好比是global_de_ctx打通了suricata的任督二脉。

DetectEngineCtx结构体在detect.h中。

typedef structDetectEngineCtx_ {

    uint8_t flags;

    int failure_fatal;

 

    Signature *sig_list;

    uint32_t sig_cnt;

 

    /* version of the srep data */

    uint32_t srep_version;

 

    Signature **sig_array;

    uint32_t sig_array_size; /* size in bytes*/

    uint32_t sig_array_len;  /* size in array members */

 

    uint32_t signum;

 

    /* used by the signature ordering module */

    struct SCSigOrderFunc_ *sc_sig_order_funcs;

    struct SCSigSignatureWrapper_*sc_sig_sig_wrapper;

 

    /*hash table used for holding the classification config info */

    HashTable *class_conf_ht;

    /* hash table used for holding thereference config info */

    HashTable *reference_conf_ht;

 

    /* main sigs */

    DetectEngineLookupFlowflow_gh[FLOW_STATES];

 

    uint32_t mpm_unique, mpm_reuse, mpm_none,

        mpm_uri_unique, mpm_uri_reuse,mpm_uri_none;

    uint32_t gh_unique, gh_reuse;

 

    uint32_t mpm_max_patcnt, mpm_min_patcnt,mpm_tot_patcnt,

        mpm_uri_max_patcnt, mpm_uri_min_patcnt,mpm_uri_tot_patcnt;

 

    /* init phase vars */

    HashListTable *sgh_hash_table;

 

    …….

}DetectEngineCtx;

下面还有很长没有贴出来,这个结构体非常的大。想想它确实是应该这么大的。毕竟它就是suricata的心脏嘛!

Suricata是c语言开发的,而c语言的起始点是从main()函数开始的,为了好找到入口点,所以在写代码的时候就规定了从main函数开始。而suricata的入口main函数是在suricata.c文件中。

int main(intargc, char **argv)

{

    int opt;

    char pcap_dev[128];

    char *sig_file = NULL;

    int sig_file_exclusive = FALSE;

    int conf_test = 0;

    char *pid_filename = NULL;

#ifdef UNITTESTS

    char *regex_arg = NULL;

#endif

…….

Suricata中的main函数接下来所做的事情是:

/* initializethe logging subsys */

    SCLogInitLogModule(NULL);//初始化日志系统

 

    if(SCSetThreadName("Suricata-Main") < 0) {//给主线程设置线程名称

    &nb

最低0.47元/天 解锁文章

200万优质内容无限畅学
Suricata源代码()
qianligaoshan的专栏
04-11 1939
在前面我
Suricata源代码()
qianligaoshan的专栏
04-13 2916
这次我
【网络入侵检测】基于Suricata源码分析FlowWorker实现
最新发布
不断学习,不断进步。
05-29 854
本文主要基于 Suricata 开源项目源码,深入剖析其核心模块之 ——流处理模块 FlowWorker的完整实现流程。作为网络流量分析与入侵检测的关键组件,FlowWorker 承担着连接跟踪、状态管理、数据重组及检测调度等核心功能。
suricata源码解析
唐装鼠的主页
09-21 1016
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔 suricata原始码分析和读书笔记
Suricata-开源
05-10
它是基于PHP和PHP :: DB的项目管理员管理器,能够管理任务,资源并生成甘特图和工作条目图。
suricata 源码详细讲解
化茧成蝶007
08-31 1756
从main函数开始 https://my.oschina.net/openadrian/blog/184621
suricata之linux编译
hezhanran的博客
10-26 3386
suricata编译
suricata v8.0.0 英文原版用户手册
01-08
Suricata可以从源代码编译安装,也可以通过预编译的二进制包进行安装。编译选项允许用户根据特定需求定制安装。安装过程还包括设置路径、配置文件位置等。 **2. 配置和使用** Suricata的配置文件是其核心功能之,...
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 5052
​ 从上篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
Suricata源码解析-开启从小白到小白必经之路
qq_54078539的博客
05-27 554
Suricata源码分析
suricata 3.1 源码分析6
superbfly的专栏
09-02 1869
if (suri.run_mode != RUNMODE_UNIX_SOCKET) { FlowInitConfig(FLOW_VERBOSE); 初始化Flow engine。用来表示条TCP/UDP/ICMP/SCTP流的,程序当前所记录的所有流便组成了流表,在flow引擎中,流表为flow_hash这个全局变量,其类型为FlowBucket *,而FlowBucket
suricata 3.1 源码分析4
superbfly的专栏
08-31 2847
GlobalInits();初始化全局变量。包括:数据包队列trans_q、数据队列data_queues(干嘛的?)、对应的mutex和cond、建立小字母表。TimeInit(); 初始化时间。包括:获取当前时间所用的spin lock,以及设置时区(调用tzset()即可)。SupportFastPatternForSigMatchTypes(); 为快速模式匹配注册关键字。调用Suppor
开源IDS suricata 源码分析(零、开篇)
m0_50638175的博客
09-12 1287
背景:记录201909-202009期间对开源网络威胁检测引擎suricata些理解 Suricata Suricata个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
suricata 3.1 源码分析12
superbfly的专栏
09-12 2057
int engine_retval = EXIT_SUCCESS; while(1) { if (sigterm_count) { suricata_ctl_flags |= SURICATA_KILL; } else if (sigint_count) { suricat
Suricata源码阅读笔记:数据包队列
weixin_34199405的博客
12-26 352
2019独角兽企业重金招聘Python工程师标准>>> ...
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3603
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下段代码: /* If a fragment, pa
Suricata-7.0 源码分析之流表建立FlowWorker
wenze123的博客
01-20 1702
Suricata-7.0 FlowerWorker 流表建立
suricata 3.1 源码分析1
superbfly的专栏
08-26 4359
首先进入main函数int main(int argc, char **argv) { SCInstance suri; SCInstanceInit(&suri); SCInstance类型的suri变量用来保存程序当前的些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数,因此为了更好的封装性而放到个结构体变量中,而不是使用零散的长串参数或堆全局变量。 SC
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值