【网络入侵检测】基于源码分析Suricata的解码模块

原创 已于 2025-04-30 07:56:43 修改 · 982 阅读 · 22
标签
#网络 #安全威胁分析 #安全 #网络安全
于 2025-04-30 07:55:15 首次发布

【作者主页】只道当时是寻常

【专栏介绍】Suricata入侵检测。专注网络、主机安全,欢迎关注与评论。

1. 概要

👋 在 Suricata 中,数据包解码功能由一套模块化架构支撑。无论其运行于 PCAP、NFQ、DPDK 或其他模式,尽管各运行模式分别对应 DecodePcap、DecodeNFQ、DecodeDPDK 等特定解码函数,但在执行流程中,最终均会收敛至 DecodeLinkLayer、DecodeIPV4 或 DecodeIPV6 等核心解码函数,完成链路层与网络层数据包的解析处理。本文主要解码 Suricata 中解码模块是如何从链路层到传输层解析各层包头的。

2. 解码网络包

2.1 解码链路层

DecodeLinkLayer函数根据数据链路类型调用相应的解码器来处理网络数据包。

  • DecodeEthernet:处理以太网帧。

  • DecodeSll:处理 Linux 的cooked capture(SSL)数据。

  • DecodePPP:处理 PPP (Point-to-Point Protocol) 数据。

  • DecodeRaw:处理原始 IP 数据包。

  • DecodeNull:处理 BSD 环回封装数据。

  • DecodeCHDLC:处理 Cisco HDLC 封装数据。

Linux 的 cooked capture (SLL) 数据是一种特殊的数据包捕获格式,用于在 Linux 系统中捕获网络数据包。它主要用于在无法直接访问底层网络设备(如以太网卡)的情况下捕获数据包,例如在虚拟网络接口或隧道接口上。

PPP (Point-to-Point Protocol) 是一种数据链路层协议,主要用于在两个节点之间直接传输数据包。它通常用于拨号连接、DSL、串行连接等场景。

BSD 环回封装数据 是一种特殊的网络数据包封装格式,主要用于在 BSD 系统(如 FreeBSD、OpenBSD 等)的环回接口(lo)上传输数据包。

Cisco HDLC (High-Level Data Link Control) 是一种由 Cisco 开发的链路层协议,用于在串行链路上传输数据。它是 HDLC 协议的变种,主要用于 Cisco 设备之间的点对点连接。

鉴于以太网报文解码最为常用,本文重点剖析其解码流程。

DecodeEthernet 函数会对报文长度进行检测,同时判断链路层协议类型。该链路层协议类型是确定网络层对应解码函数的关键标识。该函数代码如下:

int
最低0.47元/天 解锁文章
入侵检测引擎之 Suricata 源码剖析
梦想专栏
07-06 5324
​ 从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这篇文章则从代码角度带您剖析 Suricata。 通过本篇文章,您将了解以下知识点: 收包和解包线程。 Flow-Worker 线程角色。 队列负载均衡。 Detect 线程。 应用协议解析层。 Output 输出层。 代码框架优化。 ​
suricata的Decode协议解码流程源码分析
每天分享一个编程小知识
05-22 1153
一般报文的解码流程比较简单,先确定报文的起始位置和总长度,这两个值在ReceiveDPDKLoop中PacketSetData函数,将DPDK mbuf的报文起始地址和报文总长度赋值给了suricata报文Pakcet结构体的ext_pkt和pktlen。DPDK解码流程的函数入口是DecodeDPDK,解码流程按照以太网层、网络层、传输层以及负载一层层找到报文中指定的位置,并且记录相关字段,最后在FlowSetupPacket函数中根据建流的需要打上相应的标记以及计算出流表的哈希值。
Suricata源码解析-开启从小白到小白必经之路
qq_54078539的博客
05-27 757
Suricata源码分析
suricata源码解析
唐装鼠的主页
09-21 1180
初始化suricata实例:程序名设置为程序文件名,其他变量复位。
Suricata-7.0 源码分析之流表建立FlowWorker
wenze123的博客
01-20 1979
Suricata-7.0 FlowerWorker 流表建立
网络入侵检测】基于源码分析Suricata的统计模块
不断学习,不断进步。
04-28 1434
Suricata 的配置文件中,stats 节点用于配置统计信息相关的参数,它的主要作用是控制 Suricata 如何收集和输出统计数据,帮助用户了解 Suricata 的运行状态和网络活动情况。
网络入侵检测】基于Suricata源码分析运行模式(Runmode)
不断学习,不断进步。
05-17 1146
Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检测等网络操作被抽象为模块,由线程执行,而不同的线程可以执行一个或多个不同的模块;队列实现线程间数据包流转,三者的不同组合构成 Suricata 的运行模式。
网络入侵检测】基于Suricata源码分析FlowWorker实现
不断学习,不断进步。
05-29 1102
本文主要基于 Suricata 开源项目源码,深入剖析其核心模块之一 ——流处理模块 FlowWorker的完整实现流程。作为网络流量分析入侵检测的关键组件,FlowWorker 承担着连接跟踪、状态管理、数据重组及检测调度等核心功能。
开源IDS suricata源码分析(一、框架)
m0_50638175的博客
09-12 3000
Suricata框架 1. 分析框架设计原则 分析Suricata框架之前,我先假定了一些框架设计原则,属个人总结。Suricata定位高性能的网络IDS,IPS和网络安全监视引擎。其框架设计会要考虑到: 支持高速数据包捕获 支持链路层/网络层/传输层协议解码 维护网络层会话/传输层会话 支持网络层分片重组/传输层分段重组 支持常见应用层协议的识别和解析 支持对常见应用协议的敏感字段进行规则匹配 支持对外输出从流量中还原出的有价值的信息 支持网络流量落盘存储 支持流量过滤 支持条件转发 输入输出/协议识别
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 7754
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata有脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
网络入侵检测】基于源码分析Suricata的引擎日志配置解析
不断学习,不断进步。
04-30 1139
Suricata 的引擎日志记录系统主要记录该引擎在启动、运行以及关闭期间应用程序的相关信息,如错误信息和其他诊断信息,但不包含 Suricata 自身生成的警报和事件。该系统设有多个日志级别,包括错误、警告、通知、信息、性能、配置和调试。
Suricata之源代码(二)
qianligaoshan的专栏
04-11 2006
在前面我
Suricata之源代码(三)
qianligaoshan的专栏
04-13 2987
这次我
网络入侵检测】基于Suricata源码分析FlowManager实现
不断学习,不断进步。
05-29 797
 本文聚焦开源网络入侵检测系统 Suricata 的核心模块 FlowManager,深入解读其源码,解析流量管理实现机制。FlowManager 承担流的超时检查、资源回收、紧急模式处理等关键功能。文章从内存压力值计算、动态调整休眠间隔、流状态切换逻辑入手,结合代码实例,说明其如何动态调节扫描行数与休眠时间,平衡负载与检测效率。
suricata 源码分析之行锁
guoguangwu的专栏
03-18 2119
此博客讨论的是在多线程下链式哈希表的行锁的使用,主要是针对对哈希表的表锁,二者各有优缺点。 表锁哈希表,只有一把锁,内存少,实现简单,但是在并发访问时,效率极其低下; 行级锁哈希表则每一行都有一把锁,内存开销大,实现复杂,但是在大并发,高效率的后台服务程序中使用非常广泛。suricata就声称自己可以处理万兆网络,这和多线程架构和更细粒度的锁的机制是分不开的。 ...
suricata 3.1 源码分析29 (数据包队列)
superbfly的专栏
10-12 3316
这块的东西我现在还没有用到,所以很不厚道的抄了背着笔记本流浪的原文下来。简介Suricata中使用队列来缓存数据包,包括缓存线程模块内部新产生数据包的线程内队列,以及线程之间用来传递数据包的线程间队列。 用于表示数据包队列的结构体为PacketQueue,其定义如下(省略了调试相关字段): typedef struct PacketQueue_ { Packet top; / 头指针
从零开始使用Surya-OCR——项目源码拆解
qq_58718853的博客
04-16 6794
本文记录详细拆解surya项目源代码,以及在实际部署中对模型的进一步修改服务于实际应用
深入解析Suricata网络入侵检测系统:从main函数到完整处理流程的完整指南
最新发布
gitblog_01103的博客
01-15 492
Suricata是一款强大的开源网络入侵检测系统(IDS)和入侵防御系统(IPS),由OISF和社区共同开发。作为下一代网络安全引擎,它能够实时监控网络流量,检测恶意活动,并提供全面的网络安全防护。本文将带你深入了解Suricata的核心架构,从main函数的执行流程到完整的网络流量处理机制。 ## 🚀 Suricata快速入门:从安装到运行 要开始使用Suricata,首先需要克隆项目仓库
开源IDS suricata 源码分析(零、开篇)
m0_50638175的博客
09-12 1396
背景:记录201909-202009期间对开源网络威胁检测引擎suricata的一些理解 Suricata Suricata是一个免费和开源,成熟,快速且强大的网络威胁检测引擎。 Suricata引擎能够进行实时入侵检测(IDS),内联入侵防御(IPS),网络安全监视(NSM)和脱机pcap处理。 Suricata使用强大而广泛的规则和签名语言来检查网络流量,并具有强大的Lua脚本支持来检测复杂的威胁。 通过YAML和JSON之类的标准输入和输出格式,与现有SIEM,Splunk,Logstash / El
网络入侵检测】基于Suricata源码分析Pcap的运行模式(Runmode)
不断学习,不断进步。
05-17 1412
本文介绍 Suricata 的 pcap 抓包模式运行模式。pcap 支持实时抓包和离线读包,实时模式包括 single、autofp、workers 三种,离线模式有 single 和 autofp 两种。不同模式初始化逻辑有差异,如 workers 模式可监控多网卡、需遍历配置,single 模式仅监听单网卡。配置参数涵盖接口、缓冲区大小、过滤规则等,通过解析配置实现流量捕获与处理的灵活控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_只道当时是寻常

打赏不得超过工资的一半呦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值