【网络入侵检测】基于Suricata源码分析运行模式(Runmode)
【作者主页】只道当时是寻常
【专栏介绍】Suricata入侵检测。专注网络、主机安全,欢迎关注与评论。
1. 概要
👋 在 Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检测等网络操作被抽象为模块,由线程执行,而不同的线程可以执行一个或多个不同的模块;队列实现线程间数据包流转,三者的不同组合构成 Suricata 的运行模式。
2. 运行模式
Suricata的运行模式可通过参数 --list-runmodes 显示,执行后结果汇总成表格如下所示,RunMode Type 和 Custom Mode 配置同时指定一种运行模式。
| RunMode Type | Custom Mode | Description |
| PCAP_DEV | single | 单线程pcap实时模式 |
| autofp | 多线程pcap实时模式。来自每个流的数据包被分配到一个一致的检测线程 | |
| workers | 工作者pcap实时模式,每个线程执行从采集到日志记录的所有任务 | |
| PCAP_FILE | single | 单线程pcap文件模式 |
| autofp | 多线程pcap文件模式。来自每个流的数据包被分配到一个一致的检测线程 | |
| PFRING | autofp | 多线程pfring模式。来自每个流的数据包被分配到一个检测线程,不同于"pfring_auto"模式,在"pfring_auto"模式中,同一流的数据包可以由任何检测线程处理 |
| single | 单线程pfring模式 | |
| workers | 工作者pfring模式,每个线程执行从采集到日志记录的所有任务 | |
| NFQ | autofp | 考虑流的多线程NFQ IPS模式 |
| workers | 每队列一个线程的多队列NFQ IPS模式 | |
| NFLOG | autofp | 多线程nflog模式 |
| single | 单线程nflog模式 | |
| workers | 工作者nflog模式 | |
| IPFW | autofp | 考虑流的多线程IPFW IPS模式 |
| workers | 每队列一个线程的多队列IPFW IPS模式 | |
| ERF_FILE | single | 单线程ERF文件模式 |
| autofp | 多线程ERF文件模式。来自每个流的数据包被分配到一个检测线程 | |
| ERF_DAG | autofp | 多线程DAG模式。来自每个流的数据包被分配到一个检测线程,不同于"dag_auto"模式,在"dag_auto"模式中,同一流的数据包可以由任何检测线程处理 |
| single | 单线程DAG模式 | |
| workers | 工作者DAG模式,每个线程执行从采集到日志记录的所有任务 | |
| AF_PACKET_DEV | single | 单线程af-packet模式 |
| workers | 工作者af-packet模式,每个线程执行从采集到日志记录的所有任务 | |
| autofp | 多套接字AF_PACKET模式。来自每个流的数据包被分配到一个检测线程。 | |
| AF_XDP_DEV | single | 单线程af-xdp模式 |
| workers | 工作者af-xdp模式,每个线程执行从采集到日志记录的所有任务 | |
| NETMAP(DISABLED) | single | 单线程netmap模式 |
| workers | 工作者netmap模式,每个线程执行从采集到日志记录的所有任务 | |
| autofp | 多线程netmap模式。来自每个流的数据包被分配到一个检测线程。 | |
| DPDK(DISABLED) | workers | 工作者DPDK模式,每个线程执行从采集到日志记录的所有任务 |
| UNIX_SOCKET | single | Unix套接字模式 |
| autofp | Unix套接字模式 | |
| WINDIVERT | autofp | 按流负载均衡的多线程WinDivert IPS模式 |
2.1 single模式
在 Suricata 里,single 模式被限制为只能监听单个网卡设备,并且仅仅创建一个线程来执行数据包嗅探、解码以及 flow 解析等操作。由于这种单线程的处理方式,开发者在调试和测试过程中能够更方便地进行操作,所以该模式在开发过程中十分实用。
2.2 autofp模式
在 Suricata 的 autofp 模式中,捕获解码线程负责数据包的捕获与解码,并通过队列将其传递至 "flow worker" 线程进行处理和响应。此模式支持一个或者多个网卡的同时监听,每个网卡设备可通过配置文件设定数据包嗅探线程的数量(例如pcap-interface:ens33-threads配置),而"flow worker"线程处理数量取决于配置文件中threading-cpu-affinity-worker-cpu-set-threads数量。
2.3 workers模式
通常情况下,workers 运行模式的性能表现最佳。在此模式中,每个数据包处理线程都包含完整的数据包处理流程(即完整的数据包管道)。此模式支持同时监听多个网卡设备,且可通过配置文件配置指定每个网卡设备线程数量。
3. 源码分析
3.1 注册运行模式
在 Suricata 中,RunModeRegisterRunModes 函数是各种运行模式注册函数,该函数会将章节2中通过--list-runmodes 显示的所有运行模式注册到一个全局变量 runmodes 中,该变量的结构和定义如下所示:
typedef struct RunModes_ {int cnt;RunMode *runmodes;
} RunModes;static RunModes runmodes[RUNMODE_USER_MAX];下面是 RunModeRegisterRunModes 函数示意图:
3.2 注册线程模块
Suricata 中将不同的功能封装成模块的形式,通过将这些模块分配给不同的线程从而显示对线程所实现功能的控制。RegisterAllModules 函数是注册模块的入口函数,将所有的模块功能存储在一个名为 tmm_modules 的全局变量中,该变量的声明与定义如下所示:
typedef struct TmModule_ {const char *name;/** thread handling */TmEcode (*ThreadInit)(ThreadVars *, const void *, void **);void (*ThreadExitPrintStats)(ThreadVars *, void *);TmEcode (*ThreadDeinit)(ThreadVars *, void *);/** the packet processing function */TmEcode (*Func)(ThreadVars *, Packet *, void *);TmEcode (*PktAcqLoop)(ThreadVars *, void *, void *);/** terminates the capture loop in PktAcqLoop */TmEcode (*PktAcqBreakLoop)(ThreadVars *, void *);/** does a thread still have tasks to complete before it can be killed?* \retval bool* \param tv threadvars* \param thread_data thread module thread data (e.g. FlowWorkerThreadData for FlowWorker) */bool (*ThreadBusy)(ThreadVars *tv, void *thread_data);TmEcode (*Management)(ThreadVars *, void *);/** global Init/DeInit */TmEcode (*Init)(void);TmEcode (*DeInit)(void);
#ifdef UNITTESTSvoid (*RegisterTests)(void);
#endifuint8_t cap_flags; /**< Flags to indicate the capability requirement ofthe given TmModule *//* Other flags used by the module */uint8_t flags;
} TmModule;TmModule tmm_modules[TMM_SIZE];RegisterAllModules 函数实现如下所示:
以 TmModuleReceivePcapRegister 为例,Suricata 会将网络报文的嗅探功能封装成一个模块,模块中包含初始化函数、销毁函数、主函数等信息,并通过注册函数将其添加到tmm_modules数组中。 TmModuleReceivePcapRegister 函数实现如下所示:
/*** \brief Registration Function for ReceivePcap.*/
void TmModuleReceivePcapRegister (void)
{tmm_modules[TMM_RECEIVEPCAP].name = "ReceivePcap";tmm_modules[TMM_RECEIVEPCAP].ThreadInit = ReceivePcapThreadInit;tmm_modules[TMM_RECEIVEPCAP].ThreadDeinit = ReceivePcapThreadDeinit;tmm_modules[TMM_RECEIVEPCAP].PktAcqLoop = ReceivePcapLoop;tmm_modules[TMM_RECEIVEPCAP].PktAcqBreakLoop = ReceivePcapBreakLoop;tmm_modules[TMM_RECEIVEPCAP].ThreadExitPrintStats = ReceivePcapThreadExitStats;tmm_modules[TMM_RECEIVEPCAP].cap_flags = SC_CAP_NET_RAW;tmm_modules[TMM_RECEIVEPCAP].flags = TM_FLAG_RECEIVE_TM;
#ifdef UNITTESTStmm_modules[TMM_RECEIVEPCAP].RegisterTests = SourcePcapRegisterTests;
#endif
}
相关文章:
【网络入侵检测】基于Suricata源码分析运行模式(Runmode)
【作者主页】只道当时是寻常 【专栏介绍】Suricata入侵检测。专注网络、主机安全,欢迎关注与评论。 1. 概要 👋 在 Suricata 中抽象出线程、线程模块和队列三个概念:线程类似进程,可多线程并行执行操作;监听、解码、检…...
AI日报 - 2025年05月19日
🌟 今日概览 (60秒速览) ▎🤖 大模型前沿 | GPT-5传闻再起,将基于全新模型构建,与GPT-4彻底分离;Claude 3.7 Sonnet系统提示泄露,揭示其主动引导对话、多语言支持及安全新特性;研究指出直接复用…...
Spring源码主线全链路拆解:从启动到关闭的完整生命周期
Spring源码主线全链路拆解:从启动到关闭的完整生命周期 一文看懂 Spring 框架从启动到销毁的主线流程,结合原理、源码路径与伪代码三位一体,系统学习 Spring 底层机制。 1. 启动入口与环境准备 原理说明 Spring Boot 应用入口是标准 Java 应…...
Linux常用命令(十四)
目录 vi编辑器命令 1-编辑模式 1)准备一个txt文件并且进入vi 2)按i进入编辑模式 3)按o进入编辑模式 4)按a进入编辑模式 2-底行模式 1)退出vim 2)撤销上次操作 3)设置行号底行模式 4ÿ…...
规则联动引擎GoRules初探
背景说明 嵌入式设备随着物联网在生活和生产中不断渗透而渐渐多起来,数据的采集、处理、分析在设备侧的自定义配置越来越重要。一个可通过图形化配置的数据处理过程,对于加速嵌入式设备的功能开发愈发重要。作为一个嵌入式软件从业者,笔者一…...
基于OpenCV中的图像拼接方法详解
文章目录 引言一、图像拼接的基本流程二、代码实现详解1. 准备工作2. 特征检测与描述detectAndDescribe 函数详解(1)函数功能(2)代码解析(3)为什么需要这个函数?(4)输出数…...
AI大模型学习二十六、使用 Dify + awesome-digital-human-live2d + ollama + ChatTTS打造数字人
一、说明 数字人(Digital Human) 是指通过人工智能(AI)、计算机图形学、语音合成、动作捕捉等技术创建的虚拟人物。它们具备高度拟人化的外观、语言、表情和动作,能够与人类进行交互,甚至承担特定社会角色。…...
HTML-3.2 表格的跨行跨列(课表制作实例)
本系列可作为前端学习系列的笔记,代码的运行环境是在HBuilder中,小编会将代码复制下来,大家复制下来就可以练习了,方便大家学习。 系列文章目录 HTML-1.1 文本字体样式-字体设置、分割线、段落标签、段内回车以及特殊符号 HTML…...
Spring Cloud Sentinel 快速入门与生产实践指南
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言:流量洪峰下的微服务守卫战 🛡️一、Sentinel 核心架构解析1.1 Sentinel 整体架构1.2 核心处理流程 二、快速入门实战2.1 环境搭建全流程…...
:结构化编程)
系统架构设计(十):结构化编程
定义 结构化编程是一种遵循清晰逻辑结构、避免使用 goto 的编程方法。它强调使用有限的三种基本控制结构来组织程序,提高程序的可读性、可维护性和可测试性。 它是现代程序设计的基础,被广泛应用于命令式语言(如 C、Pascal、Java࿰…...
标准差和方差是什么
标准差和方差是什么 标准差的简单理解 标准差是衡量一组数据**离散程度(即数据的分散或集中程度 )**的统计量。它表示数据集中每个数值与这组数据平均值的偏离程度。 标准差越大,说明数据越分散,波动越大; 标准差越小,说明数据越集中,波动越小 。 可以把数据想象成一群…...
【周输入】510周阅读推荐-3
前文 【周输入】510周阅读推荐-1-CSDN博客 【周输入】510周阅读推荐-2-CSDN博客 本次推荐 目录 前文 本次推荐 算法技术 模型产品 算法技术 vLLM和DeepSpeed部署模型的优缺点_vllm deepspeed-CSDN博客 优点缺点总结vLLM 适用于推理 优化内存管理 高效并行化 功能单…...
Android平台GB28181设备接入与功能支持详解
GB28181协议作为中国国家标准,广泛应用于安防、智慧城市和交通监控等领域。大牛直播SDK提供了全面支持GB28181设备接入的技术方案,能够有效帮助开发者实现设备的快速接入与管理。在本文中,我们将深入介绍大牛直播SDK在Android平台上对于GB281…...
mvc-ioc实现
IOC 1)耦合/依赖 依赖,是谁离不开谁 就比如上诉的Controller层必须依赖于Service层,Service层依赖于Dao 在软件系统中,层与层之间存在依赖。我们称之为耦合 我们系统架构或者设计的一个原则是ÿ…...
Windows 11 C:\Windows\Web\Wallpaper
Windows 11 C:\Windows\Web\Wallpaper 纯色壁纸自定义 没一个好看的...
医疗信息系统安全防护体系的深度构建与理论实践融合
一、医疗数据访问系统的安全挑战与理论基础 1.1 系统架构安全需求分析 在医疗信息系统中,基于身份标识的信息查询功能通常采用分层架构设计,包括表现层、应用层和数据层。根据ISO/IEC 27001信息安全管理体系要求,此类系统需满足数据保密性…...
--Brush)
Compose笔记(二十五)--Brush
这一节主要了解一下Compose中Brush,在Jetpack Compose里,Brush是一个重要的 API,它用于定义填充图形的颜色渐变或图案,能够为界面元素添加丰富的视觉效果。简单总结如下: 1 常见场景 填充形状(圆形、矩形等) 创建渐变…...
Spring Web MVC————入门(3)
今天我们来一个大练习,我们要实现一个登录界面,登录进去了先获取到登录人信息,可以选择计算器和留言板两个功能,另外我们是学后端的,对于前端我们会些基础的就行了,知道ajax怎么用,知道怎么关联…...
HTML 属性详解
HTML 属性详解 HTML(HyperText Markup Language)是创建网页的标准标记语言。在HTML中,元素可以通过属性来扩展其功能。属性是元素的一个特性,它提供了关于元素的额外信息。本文将详细介绍HTML中的常见属性,帮助您更好地理解和运用HTML。 一、HTML属性的基本概念 HTML属…...
NC61 两数之和【牛客网】
文章目录 零、原题链接一、题目描述二、测试用例三、解题思路3.1 排序双指针3.1 散列 四、参考代码4.1 排序双指针4.2 散列 零、原题链接 NC61 两数之和 一、题目描述 二、测试用例 三、解题思路 3.1 排序双指针 基本思路: 先对序列进行排序,然后…...
Java生成可控的Word表格功能开发
在日常办公自动化与系统集成场景中,生成结构化的Word文档已成为一种刚性需求,尤其是带有格式规范、内容动态填充的Word表格(Table)。本文将围绕如何利用Java开发一个可控的Word表格生成功能模块展开,涵盖技术选型、代码实现、边界控制与常见问题处理等方面,帮助开发者快速…...
Node.js中的洋葱模型
文章目录 前言 前言 Node.js中的洋葱模型是一种中间件执行机制,主要用于处理HTTP请求和响应的流程控制。该模型通过层层包裹的中间件结构,实现请求从外到内穿透、响应从内向外返回的顺序执行。以下从核心概念、实现原理、框架差异及实际应用等方面解析&…...
Spring Boot 中 MyBatis 与 Spring Data JPA 的对比介绍
一、核心概念 MyBatis 定义:基于 SQL 的持久层框架,提供灵活的 SQL 映射和自定义查询能力。 特点: 开发者手动编写 SQL(XML 或注解)。 支持动态 SQL、复杂查询优化。 轻量级,对数据库控制力强。 Spri…...
如何分析动态采样引起的计划不稳定 | OceanBase SQL 调优实践
这篇博客涉及两个知识点,一个是动态采样,另一个是 DAS 执行。 用户的问题和相关结论 我们看看用户在OceanBase 社区论坛发帖中提出的疑问及其所得出的结论。 问题:收集统计信息之前,为什么会出现计划不稳定的情况? …...
如何实现RTSP和RTMP低至100-200ms的延迟:直播SDK的技术突破
在实时音视频传输中,低延迟是直播应用的核心技术要求之一。无论是在线教育、远程医疗,还是实时互动直播,延迟过大会影响用户体验,甚至导致应用无法正常使用。大牛直播SDK(SmartMediaKit)在RTSP和RTMP播放器…...
symfonos: 2靶场
symfonos: 2 来自 <https://www.vulnhub.com/entry/symfonos-2,331/> 1,将两台虚拟机网络连接都改为NAT模式 2,攻击机上做namp局域网扫描发现靶机 nmap -sn 192.168.23.0/24 那么攻击机IP为192.168.23.182,靶场IP192.168.23.253 3&…...
【图像生成大模型】Step-Video-T2V:下一代文本到视频生成技术
Step-Video-T2V:下一代文本到视频生成技术 引言Step-Video-T2V 项目概述核心技术1. 视频变分自编码器(Video-VAE)2. 3D 全注意力扩散 Transformer(DiT w/ 3D Full Attention)3. 视频直接偏好优化(Video-DPO…...
C语言中的指针:从基础到进阶实战
指针是C语言中最具特色且功能强大的特性之一。它们不仅是内存管理的核心工具,还能帮助程序员实现复杂的数据结构和高效算法。本文将从指针的基础知识入手,逐步深入探讨其高级应用,结合实际示例,助你掌握指针的精髓。 一、指针的基…...
深度学习推理引擎---ONNX Runtime
一、基础概念 1. 什么是ONNX Runtime? 定位:由微软开发的跨平台推理引擎,专为优化ONNX(Open Neural Network Exchange)模型的推理性能设计。目标:提供高效、可扩展的推理能力,支持从云到边缘的…...
JAVA Spring MVC+Mybatis Spring MVC的工作流程*,多表连查
目录 注解总结 将传送到客户端的数据转成json数据 **描述一下Spring MVC的工作流程** 1。属性赋值 BeanUtils.copyProperties(addUserDTO,user); 添加依赖: spring web、mybatis framework、mysql driver Controller和ResponseBody优化 直接改成RestControl…...