suricata 3.1 源码分析20 (数据包封装)

最新推荐文章于 2025-09-15 09:56:42 发布
原创 最新推荐文章于 2025-09-15 09:56:42 发布 · 3.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#源码 #数据 #网络

本文介绍了Suricata中数据包的封装过程,包括Packet结构体的定义与填充,以及PcapCallbackLoop函数如何处理捕获的数据包。还讨论了数据包复制的原因及其在多线程环境中的必要性。

在Suricata中,用来封装数据包的结构体为Packet,核心字段如下:

字段含义
src/dst、sp/dp、proto五元组信息:源/目的地址,源/目的端口号,传输层协议(TCP/UDP/…)。
flow数据包所属的流指针(类型为Flow_ *)。
ip4h、ip6h网络层数据指针。
tcph、udph、sctph、icmpv4/6h传输层数据指针。
payload、payload_len应用层负载指针及长度。
next、prev前一个/后一个数据包指针,用于组成双向链表。

PcapCallbackLoop函数中第一步就是完成对数据包的封装。其函数原型如下:
void PcapCallbackLoop(char *user, struct pcap_pkthdr *h, u_char *pkt)
其中,user为用户数据,即之前传入的PcapThreadVars,h为pcap包结构体头,pkt为包数据指针。

void PcapCallbackLoop(char *user, struct pcap_pkthdr *h, u_char *pkt)
{
    SCEnter();

    PcapThreadVars *ptv = (PcapThreadVars *)user;
    Packet *p = PacketGetFromQueueOrAlloc();
/*调用PacketGetFromQueueOrAlloc获取一个Packet结构。该函数会首先尝试调用
PacketPoolGetPacket从packet pool中直接获取,如果失败(已经用完了),
那么就调用PacketGetFromAlloc新分配一个。
注:与pool中取出的数据包最终可以回收不同,这种使用malloc动态分配的数据包
最后需要free,因此为了区分会在其flags中打上标记PKT_ALLOC。*/

    struct timeval current_time;

    if (unlikely(p == NULL)) {
        SCReturn;
    }

    PKT_SET_SRC(p, PKT_SRC_WIRE);
    p->ts.tv_sec = h->ts.tv_sec;
    p->ts.tv_usec = h->ts.tv_usec;
    SCLogDebug("p->ts.tv_sec %"PRIuMAX"", (uintmax_t)p->ts.tv_sec);
    p->datalink = ptv->datalink;

    ptv->pkts++;
    ptv->bytes += h->caplen;
    (void) SC_ATOMIC_ADD(ptv->livedev->pkts, 1);
    p->livedev = ptv->livedev;
/*填充Packet结构体的部分字段:数据包源(PKT_SRC_WIRE)、时间戳、
所属数据链路/设备*/

    if (unlikely(PacketCopyData(p, pkt, h->caplen))) {
/*调用PacketCopyData复制数据包内容到pkt字段中,并设置pktlen为相应的长度。
注:为什么需要做复制这种开销大的操作呢?man pcap_dispatch给出了答案:The 
struct pcap_pkthdr… are not guaranteed to be valid after the 
callback routine returns; if the code needs them to be valid after 
the callback, it must make a copy of them. 而由于Suricata的多线程和
异步特性,数据包在callback中会送入outq中等待后续线程继续处理,因此这里必须
进行复制。对于一些支持zero copy的抓包模式,如netmap,pfring等使用
PacketSetData直接将p->ext_pkt指向pkt*/
        TmqhOutputPacketpool(ptv->tv, p);
        SCReturn;
    }

    switch (ptv->checksum_mode) {
        case CHECKSUM_VALIDATION_AUTO:
            if (ptv->livedev->ignore_checksum) {
                p->flags |= PKT_IGNORE_CHECKSUM;
            } else if (ChecksumAutoModeCheck(ptv->pkts,
                        SC_ATOMIC_GET(ptv->livedev->pkts),
                        SC_ATOMIC_GET(ptv->livedev->invalid_checksums))) {
                ptv->livedev->ignore_checksum = 1;
                p->flags |= PKT_IGNORE_CHECKSUM;
            }
            break;
        case CHECKSUM_VALIDATION_DISABLE:
            p->flags |= PKT_IGNORE_CHECKSUM;
            break;
        default:
            break;
    }
/*校验和相关的处理。若checksum_mode为DISABLE,将会给包的flags打上
PKT_IGNORE_CHECKSUM标志,表示后续不再对其进行校验和验证。若
checksum_mode为AUTO,则调用ChecksumAutoModeCheck进行统计分析,
满足条件则后续该设备的数据包都会关闭校验和验证。目前是的关闭条件是:
1000个包中若有超过10%的包校验和不正确,则认为网卡开启了
checksum offloading,因而关闭检验和验证*/

    if (TmThreadsSlotProcessPkt(ptv->tv, ptv->slot, p) != TM_ECODE_OK) {
/*调用TmThreadsSlotProcessPkt让本线程中包含的其他slot中的模块对数据包进行后续处理。
若处理返回失败,则调用pcap_breakloop中断抓包。*/
        pcap_breakloop(ptv->pcap_handle);
        ptv->cb_result = TM_ECODE_FAILED;
    }

    /* Trigger one dump of stats every second */
    TimeGet(&current_time);
    if (current_time.tv_sec != ptv->last_stats_dump) {
        PcapDumpCounters(ptv);
        ptv->last_stats_dump = current_time.tv_sec;
/*调用PcapDumpCounters设置抓包统计信息(stats counters)。
这个打印保证每秒只触发一次,机制是:获取当前时间,
只有当前秒数与上一次记录的秒数不同时才调用*/
    }

    SCReturn;
}
12、基于DPDK的TLS预过滤器加速入侵检测系统分析
uber9的博客
05-31 62
本文探讨了基于DPDK的TLS预过滤器如何加速入侵检测系统(IDS)对加密流量的处理。通过分析TLS流量特性,设计并实现了一个高效的TLS预过滤器,能够在不影响检测准确性的前提下显著提升IDS的性能。文章详细介绍了系统的架构设计、内部逻辑、性能评估以及未来发展方向,展示了其在企业网络数据中心和云服务环境中的应用潜力。
数据包封装
BJM‘s blog.
04-21 3253
1、以太网中数据包封装 2、以太网帧结构 前导码与帧前定界符:前导码为56b的1010…101010,帧前定界符为10101011 目的地址和源地址:MAC地址为48b 长度/类型:长度(小于0800H),类型(大于等于0800H(如IP为0800H、ARP为0806H) 数据字段:用于携带上层传下来的数据。 帧校验...
suricata 3.1 源码分析21数据包处理1
superbfly的专栏
09-26 2227
进一步的数据包处理是在TmThreadsSlotProcessPkt中完成,其原型为: static inline TmEcode TmThreadsSlotProcessPkt(ThreadVars *tv, TmSlot *s, Packet *p) 其中,s就是前面一路传下来的slot,而p为当前要处理的Packet。/** * \brief Process the r
suricata源码解读-事务日志
最新发布
唐装鼠的主页
09-15 179
遍历前面添加到OutputPacketLogger *list的日志模块,调用日志模块对应的线程模块的线程初始化函数,对日志模块进行初始化。根据配置选择加载输出模块,调用SetupOutput将输出模块添加到OutputPacketLogger *list;遍历所有事务日志模块OutputTxLogger *list,找到事务协议对应的日志模块,调用日志输出函数输出日志。注册协议的事务日志模块,存储到output_modules。注册协议的日志线程初始化和销毁函数。
网络安全系列-三十六:使用Suricata IDS分析pcap文件
penriver的博客
11-07 1611
Suricata是一款高性能、开源的网络分析和威胁检测软件. Suricata(稳定)版本为6.0.8;该版本于2022年9月27日发布。 本文讲解如何使用Suricata IDS分析pcap文件,并针对分析的结果进行分析
suricata源码中的packet prefilter 以及payload prefilter
村中少年的专栏
06-16 2997
简单介绍一下suricata源码中的packet prefilter 以及payload prefilter
网络安全系列-四十三:使用Suricata分析恶意流量pcap文件
penriver的博客
11-23 2598
本文基于[网络安全系列-三十六:使用Suricata IDS分析pcap文件]和 [网络安全系列-四十二: Suricata之rulesets的激活、更新及动态加载]的基础上,使用suricata针对包含恶意流量的pcap文件进行分析,触发事件告警,并对suricata输出的日志进行逐个分析,让你掌握针对恶意流量的分析步骤,及怎么查看suricata输出的日志。
网络入侵检测】基于Suricata源码分析运行模式(Runmode)
不断学习,不断进步。
05-17 1040
Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检测等网络操作被抽象为模块,由线程执行,而不同的线程可以执行一个或多个不同的模块;队列实现线程间数据包流转,三者的不同组合构成 Suricata 的运行模式。
Surciata源码分析之IpsNFQ模式(2)
Firedb的专栏
05-19 3682
2. 各模块功能分析   Receive:从NFQUEUE中接收数据包,并将封装Packet结构中,然后放入下一个缓冲区。   Decode:对数据包进行解码,主要是对数据包头部信息进行分析并保存在Packet结构中。   StreamTCP:对数据包进行TCP流重组。   Detect:检测数据包是否包含入侵行为。   Verdict:对检测后
网络数据流分析】:监控与分析技术的终极指南
本文从网络数据流分析基础入手,详细探讨了数据包捕获技术与工具的使用,网络流量监控与管理策略,以及网络数据流安全分析中的入侵检测与防御系统。进一步,本文阐述了如何通过自动化工具和机器学习方法优化数据...
suricata 3.1 源码分析29 (数据包队列)
superbfly的专栏
10-12 3274
这块的东西我现在还没有用到,所以很不厚道的抄了背着笔记本流浪的原文下来。简介Suricata中使用队列来缓存数据包,包括缓存线程模块内部新产生数据包的线程内队列,以及线程之间用来传递数据包的线程间队列。 用于表示数据包队列的结构体为PacketQueue,其定义如下(省略了调试相关字段): typedef struct PacketQueue_ { Packet top; / 头指针
《C++Primer》学习笔记(6-10章)
weixin_34311757的博客
04-09 397
2019独角兽企业重金招聘Python工程师标准>>> ...
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 7616
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata抓包方式之一 AF_PACKET
weixin_34150224的博客
11-07 1138
1、前言     linux提供了原始套接字RAW_SOCKET,可以抓取数据链路层的报文。这样可以对报文进行深入分析。今天介绍一下AF_PACKET的用法,分为两种方式。第一种方法是通过套接字,打开指定的网卡,然后使用recvmsg读取,实际过程需要需要将报文从内核区拷贝到用户区。第二种方法是使用packet_mmap,使用共享内存方式,在内核空间中分配一块内核缓冲区,然后用户空间程序调用mm...
ijkPlayer源码分析 PacketQueue分析
baiiu
03-11 759
前言 本文介绍PacketQueue,相对于FrameQueue来说比较简单,可以类比Android中的MessageQueue。 PacketQueue总体介绍 单向链表结构。first_pkt、last_pkt,是链表的起点和终点结点;recycle_pkt链表用于节点复用; 是一个多线程安全队列,靠等待唤醒机制保证线程安全; 当遇到flush_pkt时,serial加1自增,标志着流序列变化,区分是否是连续的流; typedef struct MyAVPacketList { AVPack
内核netfilter代码略图以及nfq的流程
n1wer的专栏
09-17 1397
正在研究netfilter代码,基于4.19.94内核画一个图,以filter表和nfq为例.
iptables 3: 动作MARK NFQUEUE
weixin_42639771的博客
04-17 2388
1. 参考 https://blog.csdn.net/wangzhen_csdn/article/details/83038122 一、nfqueue相关函数 1. nfnl_open struct nfnl_handle *nfnl_open(void) 函数说明: 开启nfnetlink 处理程序 函数功能: 该函数创建一个nfnetlink 处理程序,此函数创建NFNETLi...
Suricata 3.1源码初始化流程深度解析
本文围绕“Suricata 3.1源码分析[项目代码]”这一主题,深入剖析其核心启动流程和初始化机制,从main函数开始,逐步揭示程序的结构设计、模块化组织以及关键组件的初始化过程。通过分析SCInstance结构体、日志系统、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值