摘要：第一次系统性的写blog，写的不好，请大家多多包涵。 在介绍Suricata源代码之前，大致介绍一下Suricata的工作流程。在suricata中主要使用了回调函数将所有的模块连接起来的。最后是通过DetectEngineCtx *global_de_ctx这个结构体启动起来的。整个的启动过程我用鞭炮来进行比喻，回调函数就好像鞭炮的引线一样，将所有的小的鞭炮连接起来，连接起来之后如果要放鞭炮就的要使用火柴将引线点燃。所以我将global_de_ctx比喻为火柴。在suricata中也是这样，最后通过global_de_ctx将suricata运行起来的。就好比是global_de_ctx打. 阅读全文

摘要：2. 各模块功能分析Receive：从NFQUEUE中接收数据包，并将封装在Packet结构中，然后放入下一个缓冲区。Decode：对数据包进行解码，主要是对数据包头部信息进行分析并保存在Packet结构中。StreamTCP：对数据包进行TCP流重组。Detect：检测数据包是否包含入侵行为。Verdict：对检测后的数据包进行判定，并将判定结果告诉内核（通过ipq_set_verdict函数），方便内核对数据包进行接收、丢弃等处理。RespondReject：通过libnet对那些要执行Reject操作的数据包进行相应的回应。3.Tm-queue&Tm-queuehandler分析 阅读全文

摘要：在网上看到两篇对这个解释的好的博客，所以我就直接拿过来使用了。最近看了一下suricata-1.2.1的源代码，加之之前在网上没有搜到关于suricata的分析资料，所以就把看源码时的一些笔记整理了一下，发到网上，供其他对suricata感兴趣的网友参考。由于是第一次在csdn上写技术博客，不足之处还望看到此文章的网友见谅！先还是进行简要的介绍一下，Suricata 是一个网络入侵检测和阻止引擎，由开放信息安全基金会以及它说支持的提供商说开发。该引擎是多线程的，内置 IPv6 的支持，可加载预设规则，支持 Barnyard 和 Barnyard2 工具。由于我只对Suricata的IPS模式感 阅读全文

摘要：之前也没有怎么写过blog。所以很多地方可能不对，请大家多多包涵。Suricata介绍Suricata是一款高性能的网络IDS、IPS和网络安全监控引擎。它是由the Open Information Security Foundation开发，是一款开源的系统。软件的源代码可以通过http://suricata-ids.org/获得。IDS介绍IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机 阅读全文