libnids运行机制 函数调用流程

（1）系统调用 int nids_init() 初始化程序

  (2)int nids_init() 调用函数 init_procs();

　　以下是该函数的实现代码：

staticvoid init_procs()
{
    ip_frag_procs = mknew(struct proc_node);
    ip_frag_procs->item = gen_ip_frag_proc;
    ip_frag_procs->next =0;
    ip_procs = mknew(struct proc_node);
    ip_procs->item = gen_ip_proc;
    ip_procs->next =0;
    tcp_procs =0;
    udp_procs =0;
}

程第四行指定了ip_frag_procs的处理函数（这是仅仅是指定，没有实际的处理）。

（3）调用函数int nids_run()。

　　　函数nids_run的实现代码如下：

int nids_run()
{
if (!desc) {
    strcpy(nids_errbuf, "Libnids not initialized");
return0;
    }
    START_CAP_QUEUE_PROCESS_THREAD(); /* threading... */
    pcap_loop(desc, -1, (pcap_handler) nids_pcap_handler, 0);
/* FIXME: will this code ever be called? Don't think so - mcree */
    STOP_CAP_QUEUE_PROCESS_THREAD(); 
    nids_exit();
return0;
}

（4）程序第7行调用START_CAP_QUEUE_PROCESS_THREAD开启了一个新的线程，该线程正是我们的组包处理程序。该宏定义展开如下：

#define START_CAP_QUEUE_PROCESS_THREAD() \
if(nids_params.multiproc) { /* threading... */ \
if(!(g_thread_create_full((GThreadFunc)cap_queue_process_thread,NULL,0,FALSE,TRUE,G_THREAD_PRIORITY_LOW,&gerror))) { \
        strcpy(nids_errbuf, "thread: "); \
        strncat(nids_errbuf, gerror->message, sizeof(nids_errbuf) -8); \
return0; \
     }; \
    }

可以看到创建的新线程为cap_queue_process_thread,其函数实现代码如下：

staticvoid cap_queue_process_thread()
{
struct cap_queue_item *qitem;
     
while(1) { /* loop "forever" */
      qitem=g_async_queue_pop(cap_queue);
if (qitem==&EOF_item) break; /* EOF item received: we should exit */
      call_ip_frag_procs(qitem->data,qitem->caplen);
      free(qitem->data);
      free(qitem);
     }
     g_thread_exit(NULL);
}

函数第8行调用call_ip_frag_procs，其实现代码如下：

staticvoid call_ip_frag_procs(void*data,bpf_u_int32 caplen)
{
struct proc_node *i;
for (i = ip_frag_procs; i; i = i->next)
    (i->item) (data, caplen);
}

函数第4行调用了我们的ip_frag_procs,这样我们又看到步骤（2）中的这个处理函数链表链表。回过头来看看这个默认的处理函数的结构：

staticvoid gen_p_frag_proc(u_char * data, int len) 
 {
    ......
for (i = ip_procs; i; i = i->next)
    　(i->item) (iph, skblen);
    ......
}

程序4行调用了ip_procs在步骤（2）中的默认值为gen_ip_proc ，这个函数就是我们最终的处理函数了，在这里我们终于看到了我们的TCP ,UDP,ICMP的处理，代码如下：

staticvoid gen_ip_proc(u_char * data, int skblen)
{
switch (((struct ip *) data)->ip_p) {
case IPPROTO_TCP:
    process_tcp(data, skblen);
break;
case IPPROTO_UDP:
    process_udp((char*)data);
break;
case IPPROTO_ICMP:
if (nids_params.n_tcp_streams)
        process_icmp(data);
break;
default:
break;
    }
}

终于看到了我们熟悉的switch case语句序列了，这个时候就可以开始我们的process_tcp 和process_udp还有process_icmp之旅了。