Suricata6一级函数

最新推荐文章于 2023-06-05 15:50:57 发布
最新推荐文章于 2023-06-05 15:50:57 发布
阅读量510 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41915699/article/details/118362181

本文主要描述了int SuricataMain(int argc, char **argv)中的主要函数及其作用,来自文件suricata.c。

SCInstanceInit(&suricata, argv[0])

suricata实例初始化,其中结构体变量用来容纳配置文件的参数和命令行参数。

InitGlobal()

  • 初始化suricata_context的函数指针,其中rs_init(&suricata_context)调用了rust函数rs_intit,本人对rust没有研究,TODO。
  • SCLogInitLogModule(NULL),初始化日志模块,常用的日志有4个,分别是suricata.log, eve.json, fast.log, stats.log; 其他的日志输出如果有需要的话可以在suricata.yaml 配置文件中修改将enable:no 改为yes 即可。
  • ParseSizeInit() 与正则表达式有关的设置。
  • RunModeRegisterRunModes() 注册runmode函数,常用的有IDS模式(Intrusion detection system),IPS(intrusion protection system)模式,FilePcap(本地pcap包检测)模式等。

ParseCommandLine(argc, argv, &suricata)

用于解析命令行参数。

FinalizeRunMode(&suricata, argv)

确定运行模式。

StartInternalRunMode(&suricata, argc, argv)

开始运行内部模式,支持列出app-layer,版本,dump配置,keyword等进行查看。

GlobalsInitPreConfig()

Initializations for global vars, queues, etc (memsets, mutex init…)。

LoadYamlConfig(&suricata)

加载yaml配置

LogVersion,UtilCpuPrintSummary

打印出一些系统信息和日志信息。

ParseInterfacesList

解析网络接口列表,有pcap_deve, pfring, afp_dev, af_packet等。

PostConfLoadedSetup(&suricata)

解析配置文件后加载设置,会包含大部分运行代码。

  • MpmTableSetup,SpmTableSetup, 跟pattern match有关的函数设置;
  • AppLayerSetup(), 设置应用层函数,包括proto detect, proto parse, register proto, set up counters等功能;
  • SigTableSetup(), load the rule keywords;
  • RegisterAllModules(), 注册所有功能模块,这个函数非常重要;

CoredumpEnable()

设置coredump,可以在yaml文件中设置coredump的size,如果size为0,那么coredump就不生效。

RunModeDispatch

生成两个线程:FlowManager和FlowRecycle。

TmThreadContinueThreads()

让线程继续工作

SuricataMainLoop(&suricata)

循环检测suricata_ctl_flags,若设置为停止则退出程序。

GlobalsDestroy(&suricata)

释放资源,结束程序

Suricata6.0流表管理源码注释一:流表管理简介
ljq32的专栏
01-07 3050
流管理包括流表的初始化,流的新建、查找、更新、检查老化、流的回收、空闲流数量的动态维护
suricata smtp协议解析源码注释一
ljq32的专栏
09-10 1983
一。Suricata解析smtp协议整体思路 Smtp协议解析模块根据客户端与邮件服务器之间的每一个smtp交互命令,设置了多个状态即当前的smtp命令和解析阶段。 Smtp协议解析模块将smtp的交互过程视为一次事务,该事务记录了状态变化和解析阶段的过程,每次状态变化时,根据数据传输方向(客户到服务器,服务器到客户),根据当前方向对当前状态进行相应的处理。 例如:当客户端发送HELO命令后,事务的状态变为HELO,此时,服务器的操作就是处理HELO后反馈数据给客户端,客户端的操作就是解析服务器对HE
suricata6 bypass模式
唐装鼠的主页
06-05 241
suricata bypass模式下,网络流量将通过一个网络设备,例如一个网络中继器或一个网络交换机,然后再传递到Suricata实例进行处理。suricata bypass模式是一种特殊的收包模式,用于在Suricata实例和网络之间插入一个网络设备,以便在不影响网络流量的情况下对流量进行检测和处理。需要注意的是,suricata bypass模式需要特殊的硬件支持,例如支持网络中继器模式的网络设备。以下回答来自于GPT-3.5。
suricata UT之SigTableSetup中关键字的功能函数解析一
村中少年的专栏
05-08 1720
介绍SigTableSetup中二进制协议字段,例如ACK,SEQ等关键字的解析,执行过程,分析了规则加载,引擎检测的主要结构
suricata学习
热门推荐
wsk004321的专栏
05-12 1万+
suricata简介》
suricata 各个线程干的事情 -- 主线程
xuwaiwai的博客
01-06 4799
suricata 各个线程的作用 -- 主线程
suricata中command的实现分析和自定义命令方法
每天分享一个编程小知识
05-20 526
1)注册命令:在UnixManagerThreadSpawnNonRunmode函数中注册命令"just-test": UnixManagerRegisterCommand("just-test", Justtest, NULL, 0);SCEnter();int i = 0;
suricata smtp协议解析源码注释六
ljq32的专栏
09-13 1006
一。解析函数ProcessMimeBody:解析data命令的body数据 这个函数比较简单,主要查询boundary分界线,然后根据查找结果调用bounddary处理函数ProcessMimeBoundary,或者调用body数据处理函数 static int ProcessMimeBody(const uint8_t *buf, uint32_t len, MimeDecParseState *state) { int ret = MIME_DEC_OK; ui.
Suricata源码阅读笔记:StreamTCP
weixin_33978016的博客
12-27 1455
2019独角兽企业重金招聘Python工程师标准>>> ...
在面对多核处理器时,如何通过配置Suricata的workers模式来实现负载均衡,并优化数据包捕获性能?请详细描述设置步骤和最佳实践。
最新发布
11-07
AF_PACKET是Linux内核提供的一个捕获方法,可以使用`cluster-type`选项来选择散列算法,推荐使用`cluster_flow`以基于五元组进行流量分发。PF_RING提供更高级的性能选项,能够更有效地处理大量数据包,但需要额外...
ip分片重组及tcp分段重组具体实现
01-31
tcp/ip协议中ip分片重组以及tcp分段重组具体实现原理
suricata 中的UT单元测试及其源码介绍
村中少年的专栏
03-29 1791
介绍suricata的UT结构和框架实现
suricata 3.1 源码分析3
superbfly的专栏
08-30 2957
继续main函数下面的内容。/* By default use IDS mode, but if nfq or ipfw * are specified, IPS mode will overwrite this */EngineModeSetIDS(); 初始化引擎模式为IDS模式,字面上是这么理解。反正这个模式只有IPS和IDS两种,如果不清楚可以上网查。我这里就说一下主要区
Suricata之源代码(一)
qianligaoshan的专栏
04-09 3135
在介绍Suricata源代码之前,大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻,回调函数就好像鞭炮的引线一样,将所有的小的鞭炮连接起来,连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ct
suricata 3.1 源码分析11
superbfly的专栏
09-09 1579
/* Wait till all the threads have been initialized */ if (TmThreadWaitOnThreadInit() == TM_ECODE_FAILED) { SCLogError(SC_ERR_INITIALIZATION, "Engine initialization failed, "
网络入侵检测系统之Suricata(四)--初始化模块代码详解
诗酒趁年华
02-03 2322
initial Module 初始化流程 初始化Suricata instance 用来保存程序当前的一些状态、标志等上下文环境,通常是用来作为参数传递给各个模块的子函数 memset(suri, 0x00, sizeof(*suri)); // pointer to argv[0] suri->progname = progname; //运行模式 suri->run_mode = RUNMODE_UNKNOWN; memset(suri->pcap_dev, 0, sizeof(
基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)...
weixin_33910385的博客
08-09 1095
      不多说,直接上干货!     为什么,要写这篇论文?    是因为,目前科研的我,正值研三,致力于网络安全、大数据、机器学习研究领域!   论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此,为了需要的博友们,能在自己虚拟机里(我这里是CentOS6.5)来搭建部署snort+barnyard2+base的...
GCC C语言处理主要函数之c_parse_init
星空探索
03-18 1267
c_parse_init: /* Initialization routine for this file.  */void c_parse_init (void) {   /* The only initialization required is of the reserved word      identifiers.  */   unsigned int i;
Suricata命令行选项详解与高级安装指南
"Suricata 是一款开源的网络入侵检测系统 (IDS) 和网络入侵预防系统 (IPS),用于检测网络流量中的恶意活动。本指南详细介绍了 Suricata 的使用,包括高级安装方法和全面的命令行选项。" Suricata 的安装提供了多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值