snort检测插件初始化流程

最新推荐文章于 2022-07-31 20:53:58 发布
原创 最新推荐文章于 2022-07-31 20:53:58 发布 · 313 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#链表 #数据结构

本文详细介绍了Snort检测插件的作用及其实现过程。检测插件位于snort源码的src/detection-plugins目录下,主要用于解析Snort规则中的关键词,如ICMP的itype和icode。插件的Setup函数注册规则选项,而Init函数则负责初始化工作,包括解析关键词和将检测函数挂载到相应链表。通过这个过程,Snort能够对网络流量进行有效检测和分析。

一 检测插件概述

1.代码位置:snort源码src/detection-plugins

2.作用:snort规则体可定义关键词,如对于ICMP协议的itype,icode等,这些关键词及其参数都会被检测插件解析,并调用检测插件相关函数进行处理。如在规则体定义itype:3,那么检测插件会根据输入分组packet结构的icmp协议的type和规则里itype进行比较操作。

二 检测插件Setup

每个检测插件都有Setup函数,例如sp_icmp_type_check.c中的SetupIcmpTypeCheck函数:

void SetupIcmpTypeCheck(void)
{
    RegisterRuleOption("itype", IcmpTypeCheckInit, NULL, OPT_TYPE_DETECTION, NULL);
    ...
}

函数调用链:RegisterRuleOptions=>SetupIcmpTypeCheck=>RegisterRuleOption

1.RegisterRuleOptions定义在plugbase,c中,完成三维链表底层链表(规则体)初始化。

2.RegisterRuleOption定义在plugbase,c中,生成RuleOptConfigFuncNode结点插入链表rule_opt_config_funcs(定义在snort.cc)尾部。

三 检测插件Init

每个检测插件都有Init函数,例如sp_icmp_type_check.c中的IcmpTypeCheckInit函数:

void IcmpTypeCheckInit(struct _SnortConfig *sc, char *data, OptTreeNode *otn, int protocol)
{
    ...
    otn->ds_list[PLUGIN_ICMP_TYPE] = (IcmpTypeCheckData *)SnortAlloc(sizeof(IcmpTypeCheckData)); // 新建结点,挂到三维链表上
    ParseIcmpType(sc, data, otn);                       // 解析icmp规则里的itype值
    fpl = AddOptFuncToList(IcmpTypeCheck, otn);         // 将检测函数挂到otn的相关链表上
}

Init过程完成三维链表中相关键词检测初始化工作,即解析关键词,将关键词检测函数挂接到三维链表中。

snort输出插件解析
wangzhicheng2013的专栏
07-28 924
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1638
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件检测功能插件,输出日志信息插件插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
snort:工作流程及结构解析
无名J0kзr的博客
03-28 3155
文章目录参考文章CentOS 7下安装snort1. 安装mwget(可省略)2. 安装依赖3. 下载LuaJIT、daq、snort4. 安装LuaJIT、daq、snortLuaJITdaqsnort安装完成 参考文章 入侵检测系统详解(IDS) IDS入侵检测系统(snort)刚出炉滴 CentOS 7下安装snort CentOS 7下安装snort 1. 安装mwget(可省略) 为了提...
Snort预处理插件HelloWorld程序开发
IMBA_09的博客
07-10 1799
本文主要内容:Snort预处理插件开发步骤,关于Snort预处理插件程序资源的列举
VPP snort插件
redwingz的博客
07-31 1489
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.so和snort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
Snort的工作原理
热门推荐
luguifang2011的专栏
07-11 1万+
Snort 工作流程分为以下四个主要部分: 1、包捕获/解码引擎:首先,利用libpcap从网卡捕获网络上的数据包,然后数据包经过解码引擎填入到链路层协议的包结构体中,以便对高层次的协议进行解码,如TCP和UDP端口。 2、预处理器插件:接着,数据包被送到各种各样的预处理器中,在检测引擎处理之前进行检查和操作。每个预处理器检查数据包是否应该注意、报警或者修改某些东西。 3、规则解析和检测引擎
snort初始化有哪些流程
06-08
Snort初始化流程可以简单地概括为以下几个步骤: 1. 读取配置文件:Snort在启动时会读取配置文件,根据配置文件中的参数来确定一些运行时的选项,例如日志文件的位置、规则文件的位置、预处理器的选项等等。 2. ...
深入分析Snort源码结构与系统初始化流程
第四章:插件初始化 Snort的一大特色在于它的可扩展性,而其插件系统是这种可扩展性的核心。第四章会分析Snort插件架构,包括不同类型的插件(如检测引擎、输出模块、协议分析器等)是如何加载和初始化的。此外,...
深入解析Snort源码:架构、初始化与数据包处理流程
### 第四章 插件初始化 插件系统是Snort的扩展点,它允许用户加载自定义模块以增强或改变Snort的行为。在这一章节中,将分析Snort插件管理机制,如何在初始化过程中加载和注册各种插件模块,以及这些插件如何与...
snort3 FTP文件追踪与初始化流程详解
- **流检测插件**:load_stream_inspectors()用于实时监控网络流量模式。 5. **网络服务插件**: 最后,snort3会加载与网络服务相关的插件,如应用识别、端口扫描、路由器检测等,这些都与FTP文件追踪密切相关,...
Snort 入侵检测系统源码分析--独孤九贱.pdf
08-29
Snort 2.2中,服务主函数会调用一系列的初始化函数,如初始化规则库、设置网络接口、启动事件处理器等。 2. Packet处理 在Snort中,Packet模块负责接收和处理网络数据包。它通过libpcap库捕获数据包,然后传递给...
Snort-2.9.13-插件开发步骤.docx
07-08
Snort-2.9.13的预处理插件开发步骤以及遇到的问题,自己学习snort的时候写的。是预处理器插件开发的HelloWorld程序。
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重新再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
snort加入egd工控插件
wangzhicheng2013的专栏
03-08 319
一 加入审计回调函数 // 全局声明 typedef void (*Egd_save_action_record)(void *, void *, int); Egd_save_action_record save_action_record = NULL; // 初始化赋值 save_action_record = _dpd.icsSaveActionRecord; // 调用 (*save_action_record)(p, &savemdb, ENUM_ACTION_EGD); 1
[求助]关于snort插件问题
wc258的专栏
04-10 990
我想做的是编写一个snort插件,主要用途是TCP异常检测,看其是否满足3次握手和四次握手.网络中对snort插件的文章讲的很少.如何用vc实现程序,还望高手指点一二.我现在是一点头绪都没有,希望大家给予支持和帮助.有什么好的文章和书籍还望告予.我先谢谢大家了. 
snort:预处理器开发HelloWorld
无名J0kзr的博客
04-15 1621
文章目录参考1. 预处理器回顾2. README.PLUGINS3. spp_template.c 参考 Snort预处理插件HelloWorld程序开发 Snort预处理器介绍(详细) 本专栏所有相关博文使用的snort版本均为 2.9.15 1. 预处理器回顾 预处理器在Snort应用规则前处理接收到的数据 预处理器对每一个数据包只执行一次 被捕获的数据包首先经过预处理器,然后经过探测引擎根...
Snort总结-预处理插件编写
非同╰_╯寻常
10-10 2876
由于sina微博上传图片不方便,已经上传到百度文库:http://wenku.baidu.com/view/abc5234db307e87101f696e8.html 文件名为:snort2.9.3预处理插件步骤整理 实验系统:Fedora14 64位系统
pcap_dispatch与pcap_loop使用区别
wangzhicheng2013的专栏
10-17 5012
1.pcap_dispatch和pcap_loop使用回调函数结构都一样: static void process_packet(u_char *user, struct pcap_pkthdr *pHeadr, u_char *pkt_data) { // 如果process_packet定义在类中,那么必须以static修饰 } 2.pcap_dispatch和pcap_loop函数参数都一样: int pkts_read = -1; // 让libpcap一直抓包,如果pkts
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值