layer7-filter实现简析

独孤九贱

它这个太简单了 ，要是用来做防火墙还是不要算了，我是自己重新一个，  正则表达式也用了强悍的pcre。
    ...
tuibo 发表于 2011-03-04 18:16

顶二楼!

你实际测试,pcre的性能和稳定性更好吗?能否大致给个对比结果呢???

Godbach

我也是在内核做的IPS，用户态下规则，但是不能下太多
bekars 发表于 2011-03-04 21:41

你指的不能太多是多少少啊？
我测试过几千条规则，是没问题的

tuibo

正则表达式有个缺点，不能表示在某些字段值为包长度。
性能还可以吧。  基本上做识别功能没有太好的方法。

用些小技巧可以提高一下，区分协议号，常见的识别放前面匹配，cache。

dreamice

正则表达式有个缺点，不能表示在某些字段值为包长度。
性能还可以吧。  基本上做识别功能没有太好的方法。 ...
tuibo 发表于 2011-03-05 15:09

    能说得更详细点吗？

独孤九贱

正则表达式有个缺点，不能表示在某些字段值为包长度。
性能还可以吧。  基本上做识别功能没有太好的方法。 ...
tuibo 发表于 2011-03-05 15:09

我主要是关心,它比layer7的好在哪儿得???

tuibo

layer7 每配一条识别一条，100个应用的话，就要跑100个规则。 而且识别码更新也不方面，需要删除添加规则。

shank941

正则表达式有个缺点，不能表示在某些字段值为包长度。
性能还可以吧。  基本上做识别功能没有太好的方法。 ...
tuibo 发表于 2011-03-05 15:09

    觉得做应用层识别还是snort更方便一点，因为snort会增加一个固定字符串的选项，固定字符串的匹配算法是多模的，只有匹配了固定字符串才会再去和对应的pcre规则进行比较，这样可以节省时间。而且snort相对而言，移植到内核态也不是很麻烦，只要把skb和snort里的packet做个映射就行了，以前单位工作时移植过，大概1个月吧差不多可以把整个snort 移植到内核里。

独孤九贱

layer7 每配一条识别一条，100个应用的话，就要跑100个规则。 而且识别码更新也不方面，需要删除添加规则。
tuibo 发表于 2011-03-05 19:34

嗯, 不过我问的是说用pcre来做有什么优势,因为我想pcre做也应该有这些问题吧????

Godbach

回复 17# shank941


   

  觉得做应用层识别还是snort更方便一点，因为snort会增加一个固定字符串的选项，固定字符串的匹配算法是多模的，只有匹配了固定字符串才会再去和对应的pcre规则进行比较，这样可以节省时间。而且snort相对而言，移植到内核态也不是很麻烦，只要把skb和snort里的packet做个映射就行了，以前单位工作时移植过，大概1个月吧差不多可以把整个snort 移植到内核里。

嗯，把 snort 移植到内核确实是可以实现的，难度不是特别大。

Godbach

但是，写成规则也有写成规则的弊端。有些特征，不是特别容易用规则表示出来，除非自己开发相关的插件。
硬编码的话，可控性搞一些，而且比较复杂的特征也能表示处理。