请教：奇怪！snort 的 TCP Stream reassembly 似乎没有实现？

Tom8341

TCP Stream reassembly是snort 预处理中 stream5 的一部分，按理说这块应该由两块组成：流监视、流重组。通过学习代码，我发现流的监视部分调用是在 detect.c 文件的 Preprocess函数中，如下图：

图中 PreprocEvalFuncNode *idx = policy->preproc_eval_funcs; 为获得所有预处理模块入口函数的链表头，idx->func(p, idx->context);对于 TCP stream来说实际的函数为 Stream5Process。

接下来就是应该是 reassembly 部分了，似乎这部分调用，如下图：

重组部分的原理类似，监视跟踪部分，可是我怎么也找不到 rpkt_idx->func(); 的实际定义在什么地方实现的，以及好几天了，还是找不到 reassembly 的实现代码，是我代码理解错了还是什么？熟悉这里的朋友能否帮个忙，万分感谢呀？

还有，snort.conf 中似乎也没有与 reassembly 相关的配置选项呀，看资料中 stream4 的 snort.conf 是有 stream_reassembly 的配置关键字的，stream5 为什么没有了？

我分析的版本是 snort-2.8.6，stream5。

Godbach

回复 1# Tom8341

看一下插件初始化的代码吧。

此外，你也可以打一下调试信息，看看这个成员指针是否有效啊

Tom8341

初始化部分有对函数的注册，但是仅仅是注册，还有就是函数的调用和定义，但是没有实现代码。
从调试的情况看，重组部分就没有执行，重组部分开头有个 if 条件判断就不成立，所以没有执行，且重组需要的链表为 NULL， 真不清楚是怎么回事？所以我才怀疑难道没有实现？或者需要什么配置参数才能启用TCP的reassembly 预处理？我给 snort 开发团队发过邮件询问此事，得到的回复是：“没有使用外部库，如果你是学习的话，你因该可以找到”，这叫哪门子答复吗，一定责任心都没有。

Godbach

回复 3# Tom8341
snort 的配置文件是怎么写的。

预处理插件中有这个吗？

Tom8341

回复  Tom8341
snort 的配置文件是怎么写的。

预处理插件中有这个吗？
Godbach 发表于 2011-11-02 14:01

1、stream5 中的配置文件中，关于 TCP stream 的关键字只有 stream5_global 和 stream5_tcp，而据相关文档，stream4 中是有 stream_reassembly 的，文档和代码都验证过。
2、snort 中有 stream5 预处理模块，这在其文档 （README.stream5）中有说明 ，据文档上讲，stream5 的功能就是对流进行检测和记录、然后在重组，重组后再 detect

shank941

你看下这个函数，貌似是这里：
CheckFlushPolicyOnData --》flush_to_seq----->_flush_to_seq_4---->FlushStream--->SafeMemcpy 这里貌似是把所有的tcp流拷贝到一起来重组的。

Tom8341

你看下这个函数，貌似是这里：
CheckFlushPolicyOnData --》flush_to_seq----->_flush_to_seq_4---->Flush ...
shank941 发表于 2011-11-02 14:41

    这个应该不是 2.8.6 的代码部分，我找不到相关定义，我查一下2.9.1再说，总之还是非常的谢谢你。

Tom8341

回复 6# shank941

再次感谢，你给的分析虽然不是 snort-2.8.6 的，但是启发了我，现在已经找到实现部分了，对于snort-2.8.6来说，reassembly 关键是 _flush_ackd 函数，之前我分析的地方有误，之前认为的重组地方压根就不执行，现在也不清楚干什么用的。

chishanmingshen

没看明白。。。

chishanmingshen

from 2.9.4

1. 
   
2. static inline int CheckFlushPolicyOnData(
   
3.     TcpSession *tcpssn, StreamTracker *talker,
   
4.     StreamTracker *listener, TcpDataBlock *tdb, Packet *p)
   
5. {
   
6.     uint32_t flushed = 0;
   
7.     uint32_t avail;
   
8. 
   
9.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
   
10.                 "In CheckFlushPolicyOnData\n"););
    
11.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
    
12.                 "Talker flush policy: %s\n",
    
13.                 flush_policy_names[talker->flush_mgr.flush_policy]););
    
14.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
    
15.                 "Listener flush policy: %s\n",
    
16.                 flush_policy_names[listener->flush_mgr.flush_policy]););
    
17. 
    
18.     switch(listener->flush_mgr.flush_policy)
    
19.     {
    
20.         case STREAM_FLPOLICY_IGNORE:
    
21.             STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
    
22.                         "STREAM_FLPOLICY_IGNORE\n"););
    
23.             return 0;
    
24. 
    
25.         case STREAM_FLPOLICY_FOOTPRINT_IPS:
    
26.         {
    
27.             int coerce;
    
28.             STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
    
29.                         "STREAM_FLPOLICY_FOOTPRINT-IPS\n"););
    
30. 
    
31.             avail = get_q_sequenced(listener);
    
32.             coerce = CheckFlushCoercion(
    
33.                 p, &listener->flush_mgr, listener->tcp_policy->flush_factor);
    
34. 
    
35.             if (
    
36.                 (avail > 0) &&
    
37.                 (coerce || (avail >= listener->flush_mgr.flush_pt) ||
    
38.                 (avail && talker->s_mgr.state == TCP_STATE_FIN_WAIT_1))
    
39.             ) {
    
40.                 uint32_t dir = GetForwardDir(p);
    
41. 
    
42.                 if ( talker->s_mgr.state == TCP_STATE_FIN_WAIT_1 )
    
43.                     listener->flags |= TF_FORCE_FLUSH;
    
44. 
    
45.                 flushed = flush_to_seq(
    
46.                     tcpssn, listener, avail, p,
    
47.                     GET_SRC_IP(p), GET_DST_IP(p),
    
48.                     p->tcph->th_sport, p->tcph->th_dport, dir);
    
49.             }
    
50.         }
    
51.         break;
    
52. 
    
53.         case STREAM_FLPOLICY_PROTOCOL_IPS:
    
54.         {
    
55.             uint32_t flags = GetForwardDir(p);
    
56.             uint32_t flush_amt = flush_pdu_ips(tcpssn, listener, p, &flags);
    
57.             uint32_t this_flush;
    
58. 
    
59.             while ( flush_amt > 0 )
    
60.             {
    
61.                 // if this payload is exactly one pdu, don't
    
62.                 // actually flush, just use the raw packet
    
63.                 if ( (tdb->seq == listener->seglist->seq) &&
    
64.                      (flush_amt == listener->seglist->size) &&
    
65.                      (flush_amt == p->dsize) )
    
66.                 {
    
67.                     this_flush = flush_amt;
    
68.                     listener->seglist->buffered = SL_BUF_FLUSHED;
    
69.                     listener->flush_count++;
    
70.                     p->packet_flags |= PKT_PDU_FULL;
    
71.                     ShowRebuiltPacket(p);
    
72.                 }
    
73.                 else
    
74.                 {
    
75.                     this_flush = flush_to_seq(
    
76.                         tcpssn, listener, flush_amt, p,
    
77.                         GET_SRC_IP(p), GET_DST_IP(p),
    
78.                         p->tcph->th_sport, p->tcph->th_dport, flags);
    
79.                 }
    
80.                 // if we didn't flush as expected, bail
    
81.                 if ( this_flush != flush_amt )
    
82.                     break;
    
83. 
    
84.                 flushed += this_flush;
    
85.                 flags = GetForwardDir(p);
    
86.                 flush_amt = flush_pdu_ips(tcpssn, listener, p, &flags);
    
87.             }
    
88.             if ( !flags )
    
89.             {
    
90.                 if ( AutoDisable(listener, talker) )
    
91.                     return 0;
    
92. 
    
93.                 listener->flush_mgr.flush_policy = STREAM_FLPOLICY_FOOTPRINT_IPS;
    
94.                 listener->flush_mgr.flush_pt += ScPafMax();
    
95.                 listener->flush_mgr.flush_type = S5_FT_PAF_MAX;
    
96. 
    
97.                 return CheckFlushPolicyOnData(tcpssn, talker, listener, tdb, p);
    
98.             }
    
99.         }
    
100.         break;
     
101.     }
     
102.     return flushed;
     
103. }
     

复制代码

应该是这里，没错。
但是网上说，重组时用的hash和树的形式处理的。奇怪，我没看出来。。。