从上一篇 “浅谈 Suricata”我们可以了解 Suricata 的安装部署大致框架、以及从配置方面谈及的性能优化。这场 Chat 则从代码角度带您剖析 Suricata。
通过本次 Chat 您将了解以下知识点:
- 收包和解包线程。
- Flow-Worker 线程角色。
- 队列负载均衡。
- Detect 线程。
- 应用协议解析层。
- Output 输出层。
- 代码框架优化。
- Chat地址 参见: https://gitbook.cn/gitchat/activity/5b39ed55245b08151cb37cc2
提到Suricata源码分析,我们首先需要了解suricata整体框架设计,只有你了解了整体框架,他才能对阅读源码有更好的促进作用。而提到框架则需要了解它的运行模式,在上一篇文章中说,suricata相对于传统snort引擎,它是由很多单独的线程模块所组成,使用者可以自行配置组合所需要的线程模块既可进行优化、自定义需求。默认的运行模式主要分为workers模式、autofp模式以及单线程模式single。workers模式主要是采用串行流水线的模式,针对单独数据流采取唯一线程 从头至尾处理,而autofp则是将收包和解包放在一个单独线程,而剩下的工作线程则通过队列传递数据包进行处理。
显然workers模式更适用于高效率处理数据包。
其次suricata支持多种抓包引擎,如:pcap、netmap、pfring、socket等。本文就pfring抓包引擎来谈一下数据包的抓取、和解包流程。