snort三维链表及其创建函数简析

最新推荐文章于 2022-04-02 20:44:39 发布
最新推荐文章于 2022-04-02 20:44:39 发布
阅读量557 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 开源组件 Linux 文章标签: 链表 数据结构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangzhicheng1983/article/details/120947479
本文详细介绍了Snort入侵检测系统的规则结构,包括规则头和规则体的组成,以及Snort如何使用三维链表来存储和管理规则。在Snort中,规则头包含动作类型、协议、端口和IP信息,而规则体则包含多个选项如消息、ID和版本。文章还展示了创建和解析规则链表的代码片段,如CreateDefaultRules和ParseConfigFile函数,这些函数用于构建Snort的规则处理数据结构。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一 snort规则头与规则体(规则选项)

1.snort规则:alter tcp $EXTERNAL_NET any <> $HOME_NET 0(msg:"BAD-TRAFFIC tcp port 0 traffic";flow:stateless;classtype:misc-activity;sid:524;rev:8;)

2.规则头:括号前面的部分,包括动作类型,协议,端口,IP,数据流向

3.规则体,也叫规则选项,是规则中最复杂的部分,是括号里的部分,包括消息,snort关键词,规则id,版本等信息。

二 snort三维链表

三维链表的数据结构分别代码分别位于rules.h和treenodes.h

1.第一层次:RuleListNode(一维)

typedef struct _RuleListNode
{
    ListHead *RuleList;             // 指向第二次链表
    ...
    char *name;                     // alert log等关键词
    struct _RuleListNode *next;     // 串成链表
} RuleListNode;

2.第二层次:ListHead(一维)

typedef struct _ListHead
{
    struct _OutputFuncNode *LogList;
    struct _OutputFuncNode *AlertList;
    struct _RuleListNode *ruleListNode;     // 指向第一层结点
} ListHead;

ListHead包括输出函数链表指针和指向第一层结点指针

3.第三层次:RuleTreeNode(二维)

typedef struct _RuleTreeNode
{
    ...
    // 以下几项 源IP 目的IP 协议 端口都出现在规则头里
    IpAddrSet *sip;
    IpAddrSet *dip;
    int proto; 
    PortObject * src_portobject;
    PortObject * dst_portobject;
    ...
    struct _ListHead *listhead;     // 指向第二层次结点
    ...
} RuleTreeNode;

4.第四层次:OptTreeNode(三维)

typedef struct _OptTreeNode
{
    ...
    struct _RuleTreeNode *RTN_activation_ptr;
    struct _RuleTreeNode **proto_nodes;                 // 指向上层结点
    ...

三 创建首次链表CreateDefaultRules(parser.c)

static void CreateDefaultRules(SnortConfig *sc)
{
    ...
    CreateRuleType(sc, RULE_LIST_TYPE_ACTIVATION, RULE_TYPE_ACTIVATE, 1, &sc->Activation);   // 创建activate链表
    ...
}
static ListHead * CreateRuleType(SnortConfig *sc, char *name, RuleType mode, int rval, ListHead *head)
{
    RuleListNode *node;
    ...
    node = (RuleListNode *)SnortAlloc(sizeof(RuleListNode));
    ...
    #以下代码将node挂到sc->rule_lists 将Head挂到node->RuleList
}

四 从snortg规则文件解析规则创建三维链表ParseConfigFile(parser.c)

static void ParseConfigFile(SnortConfig *sc, SnortPolicy *p, char *fname)
{
    ...
    for (node = sc->rule_list;node != NULL;node = node->next)
    {
        // 查询相同关键词的结点
    }
    ...
    if (node->mode == RULE_TYPE_DROP)
        ...
        ParseRule(sc, p, args, RULE_TYPE__ALERT, node->RuleList);    // 创建低维链表
    ...
}

java链表实现三维数组_java – 多维四向链表
weixin_39772651的博客
02-25 752
好的..所以我决定尝试使用Java中的链表,而不是通常用于引用指针的C语言.遍历可以是中心节点的向上,向下,向左,向右.对于角落中的节点,它们只移动两个方向,边缘上的节点可以移动3个方向.所有其他方向可以移动4个.问题:当我的程序离开构造函数时,我的节点以某种方式被删除:S当我使用get / set时,它不能遍历链接,因为它们是null.除了第一个节点.我的节点是:package linkedli...
Snort规则链表结构的分析与改进 (2006年)
04-25
Snort主要是根据规则树对数据进行递归匹配。因此规则树的结构是否合理,在很大程度上影响着Snort规则匹配的速度。本文对Snort规则链表结构进行了分析,并针对Snort规则树过于简单这一不足之处,对其进行改进,在保持原有规则匹配方法的基础上,增加宽度优先搜索算法,从而减少规则匹配所需时间。
数据结构链表
yangyanping20108的博客
04-02 514
链表是一种物理存储单元上非连续,非顺序的存储结构。其物理结构不能直观的表示数据元素的逻辑顺序,数据元素的逻辑顺序是通过链表的指针连接顺序实现的。链表由一系列的结点组成,链表中的每一个元素称为结点,结点可以在运行时动态生成。
snort源码分析之规则结构分析(二)
guoguangwu的专栏
03-10 2461
上篇对照snort的规则简单介绍了一下那些规则字段 接下来看一下规则头和规则选项的数据结构 /* 规则头匹配函数链表*/ typedef struct _RuleFpList { /* context data for this test */ /* 目前规则头没有使用 */ void *context; /* rule check function po...
snort 源码分析之基础数据结构 链表
guoguangwu的专栏
03-13 561
前面的很多里面涉及到snort的基础数据结构snort里面很多数据结构都是自己实现的比如今天要讲解的链表,后面要讲的哈希表的实现。 具体文件 sflsq.h|c 链表数据结构定义 typedef void * NODE_DATA; /* * 节点定义, 队列、栈、链表(双向) */ typedef struct sf_lnode { struct sf_lnode...
Snort检测规则初始化引擎:三维链表解析
"Snort规则引擎分析,包括规则初始化、规则结构、三维链表的使用" Snort是一个基于规则匹配的入侵检测系统(IDS),它通过解析网络数据包与预定义的规则进行对比来识别潜在的入侵行为。Snort的规则存储在安装目录的...
Snort源码解析:规则初始化与三维链表优化
从2.0版本开始,Snort引入了三维链表,这是一种更为优化的数据结构,极大地提升了检测效率。 三维链表的引入意味着规则不再是单一的一维线性结构,而是通过多个维度进行组织,这有助于减少重复匹配和提高查找速度。...
Snort源码深度解析与关键函数剖析
Snort能够以三种不同的模式运行: - 网络入侵检测系统(NIDS) - 网络入侵防御系统(NIPS) - 网络数据包嗅探器 #### 2. 源码结构概述 Snort的源代码主要由以下几个部分组成: - **预处理器(Preprocessors)**:...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
snort规则解析
lieye_leaves的专栏
09-22 4068
 Snort的规则共有五个分类:alert, log, pass, activate, dynamic; typedef struct _RuleListNode {    ListHead *RuleList;           /* The rule list associated with this node */    int mode
Snort分析
starshift的专栏
12-19 3817
Snort分析 Snort的程序架构       Snort 由几大软件模块组成,这些软件模块采用插件方式与Snort 结合,扩展起来非常方便,例如有预处理器和检测插件,报警输出插件等。Snort程序的基本框架如下图所示:   图1  Snort程序的框架图Snort的源代码结构:snort 源代码主要由以下几个主要部分构成: snort. c snor
snort源码分析之一:规则模块
wenze123的博客
02-25 2942
一、规则描述 1.1 规则描述 说明:(1) 规则划分为两个部分:规则头(RTN,RuleTreeNode)和规则选项(OTN,OptionTreeNode)。规则头包含了规则动作、协议类型、源IP地址、目的IP地址、子网掩码、源端口和目的端口等。 (2)规则选项包含报警信息和需要检查的数据包相关位置的信息。 1.2 规则链表 说明:(1)snort对这些规则用三维链表数据结构来组织,三维...
Snort规则检测引擎--架构解析
网络安全研究
08-24 2605
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则库中,规则库中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
入侵检测系统--snort知识
程序狗的成长之路
07-23 1815
1. IPS简介 入侵指的是破坏目标系统资源的完整性 、 机 密性或可用性的一系列活动 。 I D S 所检测的入侵 不包括物理入侵 , 而仅包括以电子方式从系统内 部或者外部发起的 , 尝试或者实施对系统资源的 非授权访问 、 操纵或破坏的行为 。 其工作原理基 本基于一个假设 , 即入侵者的行为与正常用户的 行为不同 , 而且这种不同会通过某种可观察的方 式表现出来 , 这种不
Snort分析报告
LBY8203XJ的专栏
07-08 3866
1.--snort的简介 snort 是一个基于libpcap的数据包嗅探器并可以作为一个轻量级的网络入侵检测系统( NIDS)。所谓的轻量级是指在检测时尽可能低地影响网络的正常操作,一个优秀的轻量级的NIDS应该具备跨系统平台操作,对系统影响最小等特征并且管理员能够在短时间内
学习笔记:规则学习(待完善)
张荣
11-13 853
这篇笔记,主要是机器学习第15章的学习笔记。涉及很多概念,后面复习时,来补全文章,主要是概念结构。 规则学习:是从训练数据中学习出一组能用于对未见示列进行判别的规则。 @@1. 规则头  ===&gt; 规则体 @@2.规则集合 ,冲突,冲突消解 解决冲突的策略:投票法,排序法(带序规则学习),元规则 @@3.按语言表达能力可以分为:命题规则 和一阶规则。 命题规则: 原子命题和逻辑连...
链表详解(易懂)
热门推荐
SlimShadyKe的博客
04-24 6万+
链表是一系列的存储数据元素的单元通过指针串接起来形成的,因此每个单元至少有两个域,一个域用于数据元素的存储,另一个或两个域是指向其他单元的指针。这里具有一个数据域和多个指针域的存储单元通常称为节点(node)。 链表的第一个节点和最后一个节点,分别称为链表的头节点和尾节点。尾节点的特征是其 next 引用为空(null)。链表中每个节点的 next 引用都相当于一个指针,指向另一个节点,借助这些...
Snort的工作原理
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
snort源码分析
qq_43445553的博客
02-24 4138
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eS0IVwzj-1645710889444)(snort分析.assets/xiaoming.jpg)] 《入侵检测技术》课程报告 《入侵检测技术》 snort分析 ​ 课程名称 入侵检测技术 ​ .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值