suricata 3.1 源码分析31 (RespondReject)

最新推荐文章于 2025-05-29 19:48:45 发布
原创 最新推荐文章于 2025-05-29 19:48:45 发布 · 2.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#源码

本文深入解析RespondReject模块的工作原理及核心功能,特别是该模块如何针对特定数据包进行阻断及回复操作,有效防止网络攻击和资源浪费。

简介
RespondReject工作在worker线程,在FlowWorker模块之后对数据包进行处理。此处主要的作用是直接对符合过滤规则的数据包进行阻断并回复,从而使得数据包不会流入后续的操作模块。个人理解这点在IPS模式时会十分有用,可以阻断网络攻击、爬虫等。

原码分析
函数RespondRejectFunc只支持IPv4和IPv6的数据包回复,因此其中只调用了4个函数:RejectSendIPv4TCP、RejectSendIPv4ICMP、RejectSendIPv6TCP、RejectSendIPv6ICMP。
下面主要分析一下RejectSendIPv4TCP函数。

int RejectSendIPv4TCP(ThreadVars *tv, Packet *p, void *data)
{
    SCEnter();
    int r = 0;
    if (PACKET_TEST_ACTION(p, ACTION_REJECT)) {
//将数据发送回原端
        r = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_SRC,NULL,0);
        SCReturnInt(r);
    } else if (PACKET_TEST_ACTION(p, ACTION_REJECT_DST)) {
//将数据发送到目地端
        r = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_DST,NULL,0);
        SCReturnInt(r);
    } else if(PACKET_TEST_ACTION(p, ACTION_REJECT_BOTH)) {
//同时对原端和目地端进行回复
        int ret;
        ret = RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_SRC,NULL,0);
        if (RejectSendLibnet11L3IPv4TCP(tv, p, data, REJECT_DIR_DST,NULL,0) == 0) {
            SCReturnInt(0);
        } else {
            SCReturnInt(ret);
        }
    }
    SCReturnInt(0);
}

注:这里有一个我开始不是很明白。对原端来的数据包进行回复很好理解,对阻断的包做一个响应,仅仅是通知一下对方“我收到你的包了”。可对目的端发送数据包就有点不好理解了,后来还是同事提醒我的,如果在我们阻断之前原端和目地端已经建立了连接,那么单方面阻断原端数据会使得目地端长时间处于等待数据包的状态,占用系统资源,这时我们给上地端发送数据,告诉目地端“现在连接结束,可以释放资源了”,这样就能够减少系统的资源占用。
后续3处分支都调用RejectSendLibnet11L3IPv4TCP函数,这个函数就是通过libnet进行组包,然后发出,当然其中会对需要发关到的地址进行编辑。

Suricata网络入侵检测系统中TCP重组的实现详解
YtyVerilog的博客
09-17 901
Suricata检测到TCP连接的开始时,它会创建一个新的TCP流对象,并将相关的数据包添加到该对象中。随着数据包的到达,Suricata会根据TCP段的序列号将数据包按顺序组装到TCP流对象中,从而实现TCP重组。其中,TCP重组是Suricata的一个重要功能,用于在网络流量中重新组装TCP数据流,以便进行有效的分析和检测。TCP重组是Suricata网络入侵检测系统的重要功能之一。本文详细介绍了Suricata中TCP重组的实现原理,并提供了一个简化的源代码示例,帮助读者理解和实践TCP重组功能。
开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)
m0_50638175的博客
11-27 1454
这里写自定义目录标题开源IDS suricata源码分析(worker模式工作线程初始化及处理流程)初始化及处理流程接口调用 开源IDS suricata源码分析(worker模式工作线程初始化及处理流程) 本文主要分析suricata在worker工作模式下,工作线程的初始化及工作线程的处理流程。 初始化及处理流程接口调用 由main函数起始的工作线程创建过程: RunModeDispatch 开始运行模式初始化(以pfring worker模式为例) RunModeIdsPfringWorker
suricata 程序架构
m0_38091107的博客
08-09 4041
suricata程序架构运行模式packet流水线线程模块线程模块间的数据传递在autofp模式下数据包的传递路径autofp模式研究RX threadW thread Suricata是一款高性能网络入侵检测防御引擎。该引擎基于多线程,充分利用多核优势。它支持多种协议,如:ip4、ipv6、tcp、udp、http、smtp、pop3、imap、ftp等。可动态加载预设规则,支持多种文件格式统计...
suricata中的线程管理分析
每天分享一个编程小知识
05-23 442
在runmodes.c中定义了如下的线程命名,从中大概可以看出suricata存在哪些线程,由于我们重点关注的是DPDK的workers模式收包,所以无关的线程,我们暂时不关注(已在下面的线程名后面标识出来)一文中,我们讲到了suricata中如何自定义命令,现在我们来实践一下,加入threads-list和slots-list这两个自定义命令,分别查看suricata的线程列表以及指定线程的slots。有问题或者需要自定义命令源码的朋友,可以进网络技术开发交流群提问(先加我wx,备注加群)。
suricata 各个线程干的事情 -- FlowRecyclerThread
xuwaiwai的博客
01-20 555
suricata 各个线程干的事情 -- FlowRecyclerThread,管理超时流的线程
suricata6 workers 流程
唐装鼠的主页
06-07 858
suricata6 数据包处理流程
suricata 3.1 源码分析21 (数据包处理1
superbfly的专栏
09-26 2229
进一步的数据包处理是在TmThreadsSlotProcessPkt中完成,其原型为: static inline TmEcode TmThreadsSlotProcessPkt(ThreadVars *tv, TmSlot *s, Packet *p) 其中,s就是前面一路传下来的slot,而p为当前要处理的Packet。/** * \brief Process the r
Suricata 3.1源码初始化流程深度解析
本文围绕“Suricata 3.1源码分析[项目代码]”这一主题,深入剖析其核心启动流程和初始化机制,从main函数开始,逐步揭示程序的结构设计、模块化组织以及关键组件的初始化过程。通过分析SCInstance结构体、日志系统、...
suricata:suricata原始码分析和读书笔记
03-23
苏里卡塔suricata原始码分析和读书笔记
【网络入侵检测】基于Suricata源码分析FlowManager实现
最新发布
不断学习,不断进步。
05-29 714
 本文聚焦开源网络入侵检测系统 Suricata 的核心模块 FlowManager,深入解读其源码,解析流量管理实现机制。FlowManager 承担流的超时检查、资源回收、紧急模式处理等关键功能。文章从内存压力值计算、动态调整休眠间隔、流状态切换逻辑入手,结合代码实例,说明其如何动态调节扫描行数与休眠时间,平衡负载与检测效率。
【网络入侵检测】基于Suricata源码分析运行模式(Runmode)
不断学习,不断进步。
05-17 1043
Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检测等网络操作被抽象为模块,由线程执行,而不同的线程可以执行一个或多个不同的模块;队列实现线程间数据包流转,三者的不同组合构成 Suricata 的运行模式。
Suricata源码解析-开启从小白到小白必经之路
qq_54078539的博客
05-27 660
Suricata源码分析
一款攻击检测工具suricata
ranuy阮的博客
03-06 2407
0x01 suricata介绍 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)开发。 https://www.osgeo.cn/suricata/what-is-suricata.html 0x02 suricata语法 规则语法由规则头部和规则选项组成 alert tcp $EXTERNAL_NET ...
Suricata高性能配置
u011311291的博客
03-05 7423
.Suricata对包的规则检测 1.为了高性能,将规则按照一定算法分很多组(例如如果出现带有UDP协议的数据包,则不需要TCP协议的所有签名) 2.更多的分组有用更高的性能,但占用更多的内存,默认配置选项 detect: profile: medium custom-values: toclient-groups: 2 toserver-groups: 25 sgh...
dpdk发送RST报文(一)—— 构建RST包
superbfly的专栏
02-25 3320
suricata中阻断报文函数“RejectSendLibnet11IPv4TCP”使用libnet11构造阻断报文。今天试一下自己手动构建RST报文,然后通过dpdk发送出去。
suricata 3.2 源码分析(IP数据包分片重组流程)
superbfly的专栏
07-11 3653
在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在 数据包解析模块->DecodeEthernet->DecedeIPV4在DecedeIPV4这个函数中有如下一段代码: /* If a fragment, pa
tcp段重组--suricata实现
网络安全研究
11-08 7755
tcp协议上的应用层协议检测时,需要做数据重组,这里简单介绍reassembly逻辑。 tcp处理的相关配置初始化位于main -> PostConfLoadedSetup -> PreRunInit -> StreamTcpInitConfig。 tcp reassembly的主体逻辑在FlowWorker -> StreamTcp中。 TCP 状态机&a
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 7618
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

高晓伟_Steven

相逢即是有缘,动力源于金钱。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值