免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 求snort的tcp重组实现分析。。。
最近访问板块 发新帖
查看: 4232 | 回复: 5
打印 上一主题 下一主题

[网络子系统] 求snort的tcp重组实现分析。。。 [复制链接]

chishanmingshen

论坛徽章:
4
酉鸡 日期:2014-03-21 23:19:50狮子座 日期:2014-08-01 22:11:40酉鸡 日期:2015-01-10 21:31:442015年辞旧岁徽章 日期:2015-03-03 16:54:15
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2013-02-28 15:00 |只看该作者 |倒序浏览
30可用积分

  2. static inline int CheckFlushPolicyOnData(
  3.     TcpSession *tcpssn, StreamTracker *talker,
  4.     StreamTracker *listener, TcpDataBlock *tdb, Packet *p)
  5. {
  6.     uint32_t flushed = 0;
  7.     uint32_t avail;

  9.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
  10.                 "In CheckFlushPolicyOnData\n"););
  11.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
  12.                 "Talker flush policy: %s\n",
  13.                 flush_policy_names[talker->flush_mgr.flush_policy]););
  14.     STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
  15.                 "Listener flush policy: %s\n",
  16.                 flush_policy_names[listener->flush_mgr.flush_policy]););

  18.     switch(listener->flush_mgr.flush_policy)
  19.     {
  20.         case STREAM_FLPOLICY_IGNORE:
  21.             STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
  22.                         "STREAM_FLPOLICY_IGNORE\n"););
  23.             return 0;

  25.         case STREAM_FLPOLICY_FOOTPRINT_IPS:
  26.         {
  27.             int coerce;
  28.             STREAM5_DEBUG_WRAP(DebugMessage(DEBUG_STREAM_STATE,
  29.                         "STREAM_FLPOLICY_FOOTPRINT-IPS\n"););

  31.             avail = get_q_sequenced(listener);
  32.             coerce = CheckFlushCoercion(
  33.                 p, &listener->flush_mgr, listener->tcp_policy->flush_factor);

  35.             if (
  36.                 (avail > 0) &&
  37.                 (coerce || (avail >= listener->flush_mgr.flush_pt) ||
  38.                 (avail && talker->s_mgr.state == TCP_STATE_FIN_WAIT_1))
  39.             ) {
  40.                 uint32_t dir = GetForwardDir(p);

  42.                 if ( talker->s_mgr.state == TCP_STATE_FIN_WAIT_1 )
  43.                     listener->flags |= TF_FORCE_FLUSH;

  45.                 flushed = flush_to_seq(
  46.                     tcpssn, listener, avail, p,
  47.                     GET_SRC_IP(p), GET_DST_IP(p),
  48.                     p->tcph->th_sport, p->tcph->th_dport, dir);
  49.             }
  50.         }
  51.         break;

  53.         case STREAM_FLPOLICY_PROTOCOL_IPS:
  54.         {
  55.             uint32_t flags = GetForwardDir(p);
  56.             uint32_t flush_amt = flush_pdu_ips(tcpssn, listener, p, &flags);
  57.             uint32_t this_flush;

  59.             while ( flush_amt > 0 )
  60.             {
  61.                 // if this payload is exactly one pdu, don't
  62.                 // actually flush, just use the raw packet
  63.                 if ( (tdb->seq == listener->seglist->seq) &&
  64.                      (flush_amt == listener->seglist->size) &&
  65.                      (flush_amt == p->dsize) )
  66.                 {
  67.                     this_flush = flush_amt;
  68.                     listener->seglist->buffered = SL_BUF_FLUSHED;
  69.                     listener->flush_count++;
  70.                     p->packet_flags |= PKT_PDU_FULL;
  71.                     ShowRebuiltPacket(p);
  72.                 }
  73.                 else
  74.                 {
  75.                     this_flush = flush_to_seq(
  76.                         tcpssn, listener, flush_amt, p,
  77.                         GET_SRC_IP(p), GET_DST_IP(p),
  78.                         p->tcph->th_sport, p->tcph->th_dport, flags);
  79.                 }
  80.                 // if we didn't flush as expected, bail
  81.                 if ( this_flush != flush_amt )
  82.                     break;

  84.                 flushed += this_flush;
  85.                 flags = GetForwardDir(p);
  86.                 flush_amt = flush_pdu_ips(tcpssn, listener, p, &flags);
  87.             }
  88.             if ( !flags )
  89.             {
  90.                 if ( AutoDisable(listener, talker) )
  91.                     return 0;

  93.                 listener->flush_mgr.flush_policy = STREAM_FLPOLICY_FOOTPRINT_IPS;
  94.                 listener->flush_mgr.flush_pt += ScPafMax();
  95.                 listener->flush_mgr.flush_type = S5_FT_PAF_MAX;

  97.                 return CheckFlushPolicyOnData(tcpssn, talker, listener, tdb, p);
  98.             }
  99.         }
  100.         break;
  101.     }
  102.     return flushed;
  103. }
复制代码
from 2.9.4 snort
求解其中的机制分析,谢谢!
(先占位放着,等我分析后补充!有清楚的请跟帖指点,谢谢!)
ww2000e

论坛徽章:
0
2 [报告]
发表于 2013-03-01 09:21 |只看该作者
有个人写过一点,在这能下到pdf
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chishanmingshen

论坛徽章:
4
酉鸡 日期:2014-03-21 23:19:50狮子座 日期:2014-08-01 22:11:40酉鸡 日期:2015-01-10 21:31:442015年辞旧岁徽章 日期:2015-03-03 16:54:15
3 [报告]
发表于 2013-03-01 09:30 |只看该作者
没有吧。目前我没有搜到任何有价值的东西。。。

你给个链接,谢谢!
回复 2# ww2000e


   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
251300891

论坛徽章:
0
4 [报告]
发表于 2013-03-15 16:38 |只看该作者
回复 1# chishanmingshen


    有同样的需求
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chishanmingshen

论坛徽章:
4
酉鸡 日期:2014-03-21 23:19:50狮子座 日期:2014-08-01 22:11:40酉鸡 日期:2015-01-10 21:31:442015年辞旧岁徽章 日期:2015-03-03 16:54:15
5 [报告]
发表于 2014-08-24 22:07 |只看该作者
本帖最后由 chishanmingshen 于 2014-08-24 22:16 编辑

refer to flush_to_seq()
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP