suricata UT之SigTableSetup中關鍵字的功能函數解析一

原創 村中少年 2020-05-10 00:51

本文介紹一些規則中的關鍵字處理過程,主要以TCP協議的ACK爲例進行說明,這類關鍵字代表了二進制協議的關鍵字解析方式。

RegisterUnittests中對所有的用例進行註冊,其中SigRegisterTests以及SigTableRegisterTests是保證規則成功解析加載,同時能夠匹配符合條件的報文的用例。SigTableRegisterTests中的用例由全局變量sigmatch_table來組織,sigmatch_table變量中的用例部分RegisterTests是在SigTableSetup中進行註冊的。

函數SigTableSetup對於所有的關鍵字對應的功能都進行了註冊。其中包括常見的key:value形式的關鍵字,以及只有key的關鍵字。本章節先講述一下key:value這些較爲常見的關鍵字,如下這些關鍵字還是很容易理解的。

DetectSidRegister();
DetectPriorityRegister();
DetectPrefilterRegister();
DetectRevRegister();
DetectClasstypeRegister();
DetectReferenceRegister();
DetectTagRegister();
DetectThresholdRegister();
DetectMetadataRegister();
DetectMsgRegister();
DetectAckRegister();
DetectSeqRegister();
DetectContentRegister();
DetectUricontentRegister();

suricata使用sigmatch_table管理所有關鍵字所具備的功能,依次將對應的功能函數填充sigmatch_table數組中的指定字段。

以SigTableSetup函數中的DetectAckRegister函數爲例加以說明,如下:

void DetectAckRegister(void)
{
    sigmatch_table[DETECT_ACK].name = "ack";
    sigmatch_table[DETECT_ACK].desc = "check for a specific TCP acknowledgement number";
    sigmatch_table[DETECT_ACK].url = DOC_URL DOC_VERSION "/rules/header-keywords.html#ack";
    sigmatch_table[DETECT_ACK].Match = DetectAckMatch;
    sigmatch_table[DETECT_ACK].Setup = DetectAckSetup;
    sigmatch_table[DETECT_ACK].Free = DetectAckFree;

    sigmatch_table[DETECT_ACK].SupportsPrefilter = PrefilterTcpAckIsPrefilterable;
    sigmatch_table[DETECT_ACK].SetupPrefilter = PrefilterSetupTcpAck;

    sigmatch_table[DETECT_ACK].RegisterTests = DetectAckRegisterTests;
}

Match對應的函數如下:

static int DetectAckMatch(DetectEngineThreadCtx *det_ctx,
                          Packet *p, const Signature *s, const SigMatchCtx *ctx)
{
    const DetectAckData *data = (const DetectAckData *)ctx;

    /* This is only needed on TCP packets */
    if (!(PKT_IS_TCP(p)) || PKT_IS_PSEUDOPKT(p)) {
        return 0;
    }

    return (data->ack == TCP_GET_ACK(p)) ? 1 : 0;
}

該函數會在檢測報文的時候執行,比較規則中的ACK和報文中的ACK是否匹配。通過其入參可以得知Packet *p爲需要匹配的報文,SigMatchCtx *ct存儲的是從規則文件中解析出來的ACK字段的值存。
該函數功能是。

那麼Match函數再什麼時候執行呢?此處只是註冊了match 的功能。
1,Match函數的執行是在DetectEngineInspectRulePacketMatches函數中,該函數中s->sm_arrays[DETECT_SM_LIST_MATCH]數組中的Match函數都會得到執行。

2,DetectEngineInspectRulePacketMatches函數作爲一個回調函數註冊在報文檢測引擎的v1.Callback字段中。註冊階段是在將加載的規則轉換成引擎上下文下掛的內部結構階段,執行路徑爲
LoadSignatures->SigLoadSignatures->SigGroupBuild->SigMatchPrepare->DetectEnginePktInspectionSetup->DetectEnginePktInspectionAppend。
DetectEnginePktInspectionSetup->DetectEnginePktInspectionAppend中其實會註冊兩種回調函數,一種就是像ACK這種,屬於二進制協議字段的匹配,往往是數字的匹配,例如DetectEngineInspectRulePacketMatches,會執行s->sm_arrays[DETECT_SM_LIST_MATCH]中的Match內容。另外一隻是字符串的匹配,往往匹配的是載荷內容或者文本協議(HTTP)的內容,例如DetectEngineInspectRulePayloadMatches,關於字符串匹配這種關鍵字將會在下一章講述。

3,最終的執行路徑爲DetectRun->DetectRulePacketRules->DetectEnginePktInspectionRun中的e->v1.Callback,v1.Callback即步驟1,2中的內容

Setup 對應的函數爲DetectAckSetup,該函數的目的是在規則解析的時候執行,將一行字符串的規則轉換爲規則上下文中對應的字段值。當然不同的關鍵字其解析的key value 的組織形式會有一定的差異,如下:

static int DetectAckSetup(DetectEngineCtx *de_ctx, Signature *s, const char *optstr)
{
    DetectAckData *data = NULL;
    SigMatch *sm = NULL;

    data = SCMalloc(sizeof(DetectAckData));
    if (unlikely(data == NULL))
        goto error;

    sm = SigMatchAlloc();
    if (sm == NULL)
        goto error;

    sm->type = DETECT_ACK;

    if (-1 == ByteExtractStringUint32(&data->ack, 10, 0, optstr)) {
        goto error;
    }
    sm->ctx = (SigMatchCtx*)data;

    SigMatchAppendSMToList(s, sm, DETECT_SM_LIST_MATCH);
    s->flags |= SIG_FLAG_REQUIRE_PACKET;

    return 0;

error:
    if (data)
        SCFree(data);
    if (sm)
        SigMatchFree(sm);
    return -1;

}

optstr爲規則文本中對應的ACK值,會被解析到SigMatch *sm 這樣的結構中,sm這掛在s->init_data>smlists[DETECT_SM_LIST_MATCH],Signature *s就是規則解析出來之後再內存中的存儲結構。對於規則中像ACK這種會進行數字匹配的key:value形式(例如seq),都是放在Signature *s中的s->init_data->smlists[DETECT_SM_LIST_MATCH]數組中。對於一些輔助字段例如sid,metadat往往直接掛在引擎上下文結構下面,例如DetectSidRegister,以及DetectMetadataRegister。

Free 對應的函數爲DetectAckFree,功能是內存的回收。由於在Setup階段會爲規則申請對應的空間,在清理的時候需要釋放這些空間。

當然對於ACK這樣的關鍵字還支持prefilter,關於prefilter後面會抽出單獨一篇進行介紹,這裏不再贅述。

RegisterTests對應的就是對於該關鍵字UT用例的註冊,相應的函數爲DetectAckRegisterTests。在該函數中,註冊了一條AC規則的解析用例DetectAckSigTest01。該用例目的很明確,就是將構造的TCP報文,設置特定的ACK值,送入到載入了若干個帶有ACK的規則的引擎中,查看最終的結果是否符合預期。具體包含如下步驟:

  • 第一步,構造報文用到了前一篇文章中提及的UTHBuildPacket函數,並設置特定的ACK。
  • 第二步,函數DetectEngineCtxInit初始化引擎的上下文。
  • 第三步,SigInit加載若干個有效和非法的帶有ACK的規則。
  • 第四步,SigGroupBuild將加載解析好的規則轉化爲引擎運行時的結構,主要是初始化引擎上下文的各個字段。
  • 第五步,由於suricata是多線程的架構,因此可能存在多個檢測線程,DetectEngineThreadCtxInit就是初始化特定的檢測線程的數據。
  • 第六步,SigMatchSignatures入參爲引擎下文上,報文,目的是對於報文進行規則檢測匹配。可以看到最終調用的是DetectRun函數。
  • 第七步,PacketAlertCheck檢測報文的匹配結果是否是特定的sid。可以看到匹配的結果存儲在報文上下文中,即p->alerts.alerts[i].s->id
  • 第八步,上述各個過程涉及到的內存清理,即SigGroupCleanup,DetectEngineThreadCtxDeinit等過程。上述的Free函數在此處就有執行,執行路徑爲SigCleanSignatures->SigFree->SigMatchFree->sigmatch_table[sm->type].Free

其實多數關鍵字用例,都是遵循着上述的7個步驟,只是在構造報文和規則方面存在差異。上述七步也是suricata迎請最爲重要的代碼部分,涵蓋了規則加載,解析,引擎上下文構造,規則匹配等多個過程,這也是學習suricata最爲重要的一些函數。

本文爲CSDN村中少年原創文章,未經允許不得轉載,博主鏈接這裏

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

suricata源碼之tag

tag是suricata提供的一個規則關鍵字,但是在suricata的說明文檔,這裏並沒有給出關鍵字的解釋,因爲他是爲了兼容snort規則而支持的一個關鍵字。 tag的字面含義就是標籤的意思。通常來說當一個規則命中的時候,往往會去

村中少年 2020-07-01 04:28:43

suricata源碼之Storage

在suricata中經常會發現storage這樣一個結構,很多人可能不是特別理解其表達的含義,本節就對此結構進行說明。 suricata中有一個Storage結構,從字面意思來看是存儲的含義。存儲的內容是什麼呢?suricata中

村中少年 2020-07-01 04:28:43

suricata關鍵配置項說明

suricata配置說明 文章目錄suricata配置說明0x01 配置文件及日誌輸出簡要介紹0x02 進行配置1 選擇suricata守護的網段或IP2 配置日誌輸出器0x03 測試配置文件 0x01 配置文件及日誌輸出簡要介紹

One-Shell 2020-06-30 16:29:40

suricata+bwapp靶場sqlmap實測

suricata+bwapp靶場sqlmap實測 文章目錄suricata+bwapp靶場sqlmap實測0x01 suricata的配置0x02 啓動suricata並攻擊靶場1. 啓動suricata2. 觀察3. 使用sql

One-Shell 2020-06-30 16:29:39

suricata源碼中的packet prefilter 以及payload prefilter

suricat主要分爲引擎和規則。對於引擎功能比較多,包括協議的解碼,規則的加載和解析,以及規則的識別。總的來檢測的成功率主要體現在規則上。規則會隨着需求的增加而增長,當規則很多的時候,識別的效率就會非常的突出。如果讓每一個報文去

村中少年 2020-06-17 10:15:11

suricata UT測試用例中使用的幾個重要的輔助函數

村中少年 2020-04-14 18:18:53

【線上社區分享】3月31日,Elastic Security 安全管理實戰工作坊

2021年的 Elastic中文社區技術分享交流活動開始啦!爲了方便全國各地的技術愛好者,本次活動繼續以在線直播的方式進行,第十七期的分享嘉賓 劉徵 帶來的演講主題是 “Elastic Security 安全管理實戰工作

Medcl 2021-03-26 21:33:07

開源安全平臺---SELKS實戰

(大家在進行SELKS實戰之前必須具備Elastic Stack的基礎知識) 1.什麼是SELKS ? SELKS是Stamus Networks公司所開發的一個開源ELK項目,社區版是在GPL v3許可下發布,目的是實現一個開箱即用的I

osc_bjmmswh6 2021-01-30 10:45:19

IDS入侵檢測系統部署

  IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,通過軟、硬件,對網絡、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行爲或者攻擊結果,以保證

原創 2021-01-30 09:22:39

suricata中的單模匹配和多模匹配

suricata的主要功能就是將規則和指定的報文進行匹配。有的是二進制協議的字段匹配,主要就是數值的比較。有的是針對傳輸層協議的內容匹配,主要是字符串的匹配查找。其中字符串的匹配分單模匹配以及多模匹配,本篇就簡單的聊聊這兩種匹配在

村中少年 2020-07-08 06:18:36

suricata源碼之-流表管理

本篇文章將分析一下suricata中的流表管理,包括流表初始化,流的新建以及流的老化。 對於任何的網絡分析工具和產品來說,流管理都是非常重要的一個方面。所謂的流就是由源目的IP,源目的端口以及傳輸層的協議構成的通信雙方的虛擬鏈接,

村中少年 2020-06-21 05:11:48

linux環境centos 7 下suricata 源碼安裝

本文簡單的介紹centos7環境下的suricata源碼安裝步驟和注意事項。 源碼下載 下載地址,這裏。 生成configure 源碼中是沒有configure文件的,需要運行autogen.sh生成configure文件。 執行

村中少年 2020-06-17 10:15:11

suricata 中的UT單元測試及其源碼介紹

suricata本身自帶了一些測試用例。這些測試用例一方面可以作爲學習suricata源碼的重要指導,符合當下流行的TDD開發。測試用例往往是系統關注的重點方面,因此用例可以指導學習suricata的重點。另一方面在改造引擎的時候

村中少年 2020-06-17 10:15:00

suricata初始化流程

                                            suricata初始化流程 1、簡介  suricata是一款高性能的IDS、IPS和網絡安全監測引擎。採用多線程模式,利用多核優勢。支持多種協議:例

TCH_world 2020-06-16 03:39:09

suricata中的數據結構之hash表

村中少年 2020-05-14 12:13:05