请熟悉 snort 预处理的高人帮忙, stream5，万分感谢

Tom8341

最近的需求需要将 snort预处理的 steam5 功能搬到 netfilter 中，看了几天资料没什么头绪，时间也紧， 无奈这里求救呀。
首先本人以前没做个网络方面，对很多概念不清楚，现在在临时抱佛脚，有几个概念被搞得混，真心真心求教，

1、snort 预处理的 frag3和stream5是做什么的？有什么区别？
2、如果要在netfilter中实现 stream5 的功能，该如何做呢？真心希望能有高人讲解？

最后再次感谢大家。

shank941

大概瞅了一眼代码，我试着回答一下：
1.frag3不清楚是什么东西，stream5主要是通过五元组之类的标记一个流，这样可以对这条流的状态进行监控（是否established），匹配什么样的规则，tcp的重组什么的。。。
2.参考nf_conntrack_proto_tcp.c中也是和stream5类似的功能，标记一个连接，可能和steam5有区别的地方是snort中对tcp流检测好像是有拷贝的过程，但nf中可能没有，其他的应该针对流的标识什么的都是类似的。

个人见解，不一定正确。btw:代码是最好的老师，这种问题，还是自己多看代码吧.

Tom8341

感谢   shank941

我一直在看代码，只是太难看了，时间只有 2周，不懂得太多，压力大。
你的回复给了我很好的指示，起码我有个方向了，再次感谢！我先看代码。如果您还有什么嘱咐的，烦请你一并附上。谢谢

Godbach

最近的需求需要将 snort预处理的 steam5 功能搬到 netfilter 中，看了几天资料没什么头绪，时间也紧， 无奈 ...
Tom8341 发表于 2011-08-31 09:28

根据名字来看，frag3 估计是分片包方面的处理。

snort 也有自己的手册，建议你仔细看一下手册吧。

NF 的框架很容易扩展，其实你可以明确玩自己的需求，然后了解 NF 是怎么开发。

Tom8341

版主说的对，的确现在我连个明确需求都没有？主要还是 strream 具体有什么功能不清楚，恰巧又看到了 frag ，直接昏倒。

snort 的手册不看则已，看了更糊涂了，好像是说 frag 是碎片重组，stream 是流重组什么的，碎片重组和流重组有什么区别呢？

shank941

感谢   shank941

我一直在看代码，只是太难看了，时间只有 2周，不懂得太多，压力大。
你的回复给了我 ...
Tom8341 发表于 2011-08-31 10:01

    看样子你的问题会很多，我的联系方式短信给你了，你加一下吧，我最近也比较忙，上论坛解答不太方便。

Godbach

回复 5# Tom8341

好像是说 frag 是碎片重组，stream 是流重组什么的，碎片重组和流重组有什么区别呢？

碎片你懂吗，这个要不懂的话，建议你看一下 TCP/IP 详解卷1.

知道了碎片，重组理解起来简单一些。

NF 框架中就有碎片重组的函数，流的概念也可以从 NF 的 conntrack 中学习。

Tom8341

感谢大家的热心帮助，关于碎片重组和流重组的概念终于搞清了，目前移植工作也顺利进行中。

Godbach

回复 8# Tom8341

:wink:

非常欢迎 LZ 分享一些研究的成果

Tom8341

回复 9# Godbach


    都是些基本概念的玩意，没什么理论，实在不敢拿出来献丑。呵呵