在網上看到兩篇對這個解釋的好的博客,所以我就直接拿過來使用了。
最近看了一下suricata-1.2.1的源代碼,加之之前在網上沒有搜到關於suricata的分析資料,所以就把看源碼時的一些筆記整理了一下,發到網上,供其他對suricata感興趣的網友參考。由於是第一次在csdn上寫技術博客,不足之處還望看到此文章的網友見諒!
先還是進行簡要的介紹一下,Suricata 是一個網絡入侵檢測和阻止引擎,由開放信息安全基金會以及它說支持的提供商說開發。該引擎是多線程的,內置 IPv6 的支持,可加載預設規則,支持 Barnyard 和 Barnyard2 工具。
由於我只對Suricata的IPS模式感興趣,所以就只看了IpsNFQ的源代碼部分,但個人覺得,只要把一種模式看懂了,其它的模式理解起來就是順其自然的事情了,各模式之間最主要的不同就是數據包的來源不同。下面就開始對suricata的IpsNFQ模式進行分析。
1. IpsNFQ三種模式圖
IpsNFQ模式下還有三種模式,先來看看這三種模式的分析圖。
a) Auto模式
b) AutoFP模式
c) Worker模式
對上圖中的一些值說明一下。Queue數量是指NFQ的Queue數量;CPU數是指CPU的核心數;ratio是一個比率值,在suricata.yaml配置文件中設定,一般設置成0.5、1或1.5。