向snort插件导入协议名和协议

最新推荐文章于 2024-11-13 03:47:02 发布
最新推荐文章于 2024-11-13 03:47:02 发布
阅读量272 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 开源组件 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangzhicheng1983/article/details/114983545
本文介绍Snort如何利用sfghash哈希表进行协议名称和ID的存储与查询。主要涉及snort插件中协议解析业务流程、SFTargetProtocolReference结构及sfghash结构等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 概述

snort插件在做协议解析业务时需要知道查询名和相关联的协议ID,以便将协议解析结果和协议名称,协议ID都关联保存起来。总的业务流程如下:

 

1.snort主进程在启动时调用LoadProtocolAppName从数据库读取所有的appname和appid,调用LoadProtocolReference=》AddProtocolReferenceExtern将appname和appid插入哈希表;

2.snort插件如modbus插件等在启动时调用findProtocolReference从哈希表查询appname和appid。

二 SFTargetProtocolReference结构

typedef struct _SFTargetProtocolReference
{
    char name[STD_BUF];
    int16_t ordinal;        // 序数
}SFTargetProtocolReference;

存入哈希表的数据是SFTargetProtocolReference结构,name是协议名,ordinal是协议ID,每存入一个SFTargetProtocolReference对象,ordinal都会递增加1,其上限是MAX_PROTOCOL_ORDINAL(8192)。

三 哈希表结构sfghash

 

sfghash是链式哈希表结构,每个Bucket对应一个双向链表,链表里并不存储实际数据,而是存储数据的指针,如下所示:

typedef struct _sfghash_node
{
    struct _sfghash_node * next, * prev;   
    const void * key;   // 对应appname
    void *data;         // 对应SFTargetProtocolReference
};

这里的key和data都是指针,这样会节省哈希表的存储空间,但需要通过释放函数释放相关结点存储,即:

typedef struct _sfghash
{
    SFHASHFCN *sfhashfcn;       // 哈希函数
    SFGHASH_NODE    **table;    // 哈希表 相当一个指针数组
    ...
    void (*userfree)(void *);   // 用户传入释放data的函数指针
    ...
} SFGHASH, SFDOCT;

1.创建哈希表sfghash_new:

(1)创建一个大于等于传入参数最大素数的hash table;

(2)创建哈希函数;

(3)保存user_free等对象

2.加入哈希表sfghash_add

(1)支持传入字符串的key或者二进制的key,在传入二进制的key时,需要带入key的字节数;

(2)通过sfhashfcn→hash_fcn算出key对应的哈希值,并对nrows取模找到bucket位置(index);

(3)从相应的bucket找出key,如果找到,则返回已查询到,否则新生成一个hash node插入bucket最开始位置,方便之后查询。

3.哈希表查询sfghash_find_node

(1)根据key算出哈希值;

(2)找到bucket位置;

(3)从bucket查询key,如果查询到,使用movetofront将key的结点移动到bucket最开始,方便之后查询。

4.哈希表删除sfghash_delete

遍历整个hash table,并调用userfree释放data空间。

四 snort调用sfghash

代码:target-based/sftarget_protocol_reference.c,函数调用链:

AddProtocolReference=>InitializeProtocolReferenceTable=>sfghash_add

AddProtocolReferenceExtern=>InitializeProtocolReferenceTable=>sfghash_find=>sfghash_add

FindProtocolReference=>InitializeProtocolReferenceTable=>sfghash_find

 

Snort预处理插件HelloWorld程序开发
IMBA_09的博客
07-10 1759
本文主要内容:Snort预处理插件开发步骤,关于Snort预处理插件程序资源的列举
入侵检测SNORT系统部署过程记录
最新发布
Yungoal的博客
05-14 990
入侵检测系统(IDS)是一种主动安全防护工具,通过收集分析网络或系统中的关键信息,检测违反安全策略的行为攻击迹象。IDS的核心组成部分包括检测器、分析器用户接口,分别负责数据收集、分析用户交互。IDS可分为基于网络(NIDS)基于主机(HIDS)的系统,分别监控网络流量主机日志。Snort是一种开源的轻量级网络入侵检测系统,支持多种平台,能够通过规则匹配检测多种入侵行为。Snort的架构包括数据包解析器、检测引擎日志/报警子系统,采用模块化设计,易于扩展。
snort 协议分析
09-04
本人前些时候用到snort,现将snort协议分享给大家
VPP snort插件
redwingz的博客
07-31 1323
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.sosnort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
snort加入egd工控插件
wangzhicheng2013的专栏
03-08 295
一 加入审计回调函数 // 全局声明 typedef void (*Egd_save_action_record)(void *, void *, int); Egd_save_action_record save_action_record = NULL; // 初始化赋值 save_action_record = _dpd.icsSaveActionRecord; // 调用 (*save_action_record)(p, &savemdb, ENUM_ACTION_EGD); 1
snort输出插件解析
wangzhicheng2013的专栏
07-28 875
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件snort.conf可指定多个输出插件,具体格式是output 插件:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
snort+base一个常用于构建入侵检测系统的解决方案.docx
07-13
Snort 支持多种形式的插件、扩展定制选项,包括数据库或 XML 记录、小帧探测统计的异常探测等。这些功能极大地增强了 Snort 的灵活性适应性。 #### 二、Base 概述 ##### 2.1 定义 Base (Basic Analysis and...
Snort转接SurfnetIDS插件:CSN社区网络开源项目
通过这种插件,网络管理员能够将Snort检测到的事件实时地导入到SurfnetIDS数据库中,实现事件的日志记录、分析报告,从而增强整个网络安全基础设施的能力。这种集成也可能支持自动化响应措施,如自动阻断恶意流量...
Linux平台下snort配置文件
06-03
5. **输出插件**:Snort可以将检测到的事件输出到不同的格式,如日志文件、数据库(如ADODB)、或者可视化工具(如Barnyard2,它将Snort的输出导入到Base Web界面)。 标签中提到的“base”是指Base,这是一个Web...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1547
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现攻击后,可以很
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
Snort预处理器之`AppId Preprocessor`
有理论,有实验,有结论,可为一篇文章
08-20 978
文章目录1 AppId 预处理器简介2 AppId 预处理的依赖3 AppId 预处理器的配置4 规则选项5 应用程序规则事件6 应用程序使用情况统计7 开放式检测器软件包(ODP)安装8 用户创建的应用程序检测器 1 AppId 预处理器简介 随着网络的复杂性网络流量的增长,网络管理员在管理网络时需要应用程序识别。管理员可能只允许与业务相关,低带宽或处理某些主题的应用程序。 AppId 预处理器添加应用程序级别视图来管理网络。它通过添加以下特性来实现这一点: 网络控制:通过为 Snort 规则编写人员
Snort的配置与使用
2302_79415891的博客
11-13 3812
Snort的配置与使用
snort检测插件初始化流程
wangzhicheng2013的专栏
11-11 285
一 检测插件概述 1.代码位置:snort源码src/detection-plugins 2.作用:snort规则体可定义关键词,如对于ICMP协议的itype,icode等,这些关键词及其参数都会被检测插件解析,并调用检测插件相关函数进行处理。如在规则体定义itype:3,那么检测插件会根据输入分组packet结构的icmp协议的type规则里itype进行比较操作。 二 检测插件Setup 每个检测插件都有Setup函数,例如sp_icmp_type_check.c中的SetupIcmpTyp
Snort预处理器之`Modbus`
有理论,有实验,有结论,可为一篇文章
08-20 508
文章目录1 Modbus 预处理器简介2 Modbus 预处理器的依赖3 Modbus 预处理器的配置4 Modbus 预处理器的规则选项5 Modbus 预处理器的事件 1 Modbus 预处理器简介 Modbus 预处理器是一个对 Modbus 协议进行解码的 Snort 模块。它还提供了访问某些协议字段的规则选项。这允许用户为Modbus 包编写规则,而不用使用一系列 “content” “byte_test” 选项对协议进行解码。 Modbus 是一种在 SCADA 网络中使用的协议。如果您的网
【转】snort的安装、配置使用
tpriwwq的专栏
12-30 2554
方向操作符左边的ip地址端口号被认为是流来自的源主机,方向操作符右边的ip地址端口信息是目标主机,还有一个双向操作符"<>"。注意Snort的语法。规则的头包含了定义一个包的who,wherewhat信息,以及当满足规则定义的所有属性的包出现时要采取的行动。而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
Snort 命令参数详解
热门推荐
可木的专栏
10-24 1万+
用法:        snort -[options] 选项: -A      设置报警模式,alert = full/fast/none/unsock,详解上一篇snort简介。 -b    用二进制文件保存网络数据包,以应付高吞吐量的网络。 -B    将IP地址信息抹掉,去隐私化。 -c    使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息。 -d
snort 源码分析之基础数据结构 哈希表
guoguangwu的专栏
03-13 656
哈希表的种类很多,普遍的实现是链式哈希表(解决哈希冲突的问题)。snort也是这样实现的, 每个bucket是一个双向链表。 每次插入查询某个key value时, 如果成功都会将该元素放置在链表头, 作为缓存加速下次使用。 涉及的文件有sgghash.h|c、sfhashgcn.h|c。 /* * 哈希表控制对象 */ typedef struct _SFHASHFCN { /...
Snort总结-简介
非同╰_╯寻常
10-10 1万+
相关定义:   入侵检测  是指用来检测针对网络及主机的可疑活动的一系列技术方法。入侵检测系统基本可以分为两大类:基于特征的入侵检测系统异常行为检测系统。  入侵检测系统或IDS是一种用来检测入侵行为的软件、硬件或者两者的结合。Snort是大众可以获得的开放源码的IDS。IDS的实际能力依赖于组件的复杂度及精巧性。实体的IDS是硬件软件的结合,很多公司可以提供及决方案。 网络IDS或
snort实现协议分析的过程结果
05-12
2. 解析数据包:Snort解析数据包中的各个字段,包括源目的IP地址、端口号、协议类型等。 3. 应用规则:Snort将解析出来的数据包与用户定义的规则进行匹配,判断是否存在威胁。 4. 报告告警:如果某个数据包匹配...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值