A-A+

suricata 3.1 源码分析34 (FlowWorker处理流程3 – 流重用)

2018年12月07日 suricata 暂无评论

上一章提到了一个流重用的概念,这里主要说一下。根据code,所谓流重用仅仅重用了流的thread_id。其他内容都是新建流得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的流可以被重用。

//这就是判断包所属的流是否能重用的函数
int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *tcp_ssn)
{
    if (p->proto == IPPROTO_TCP && p->tcph != NULL) {

/*判断包是不是一次会话中的第一个包,这里的会话可以理解为一次完整的
tcp三次握手和四次挥手。*/
        if (TcpSessionPacketIsStreamStarter(p) == 1) {
/*这里判断包的流向,并根据流向以及对应流中的状态判断该流是否可重用流*/
            if (TcpSessionReuseDoneEnough(p, f, tcp_ssn) == 1) {
                return 1;
            }
        }
    }
    return 0;
}
/*判断包是否是会话的开始*/
static int TcpSessionPacketIsStreamStarter(const Packet *p)
{
/*包的flags为TH_SYN返回1*/
    if (p->tcph->th_flags == TH_SYN) {
        SCLogDebug("packet %"PRIu64" is a stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
        return 1;
    }
/*中间流且包的标志为TH_SYN|TH_ACK,返回1*/
    if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
        if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
            SCLogDebug("packet %"PRIu64" is a midstream stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
            return 1;
        }
    }
    return 0;
}
/*通过会话的状态判断流是否可以被重用*/
int TcpSessionReuseDoneEnough(const Packet *p, const Flow *f, const TcpSession *ssn)
{
    if (p->tcph->th_flags == TH_SYN) {
        return TcpSessionReuseDoneEnoughSyn(p, f, ssn);
    }

    if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
        if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
            return TcpSessionReuseDoneEnoughSynAck(p, f, ssn);
        }
    }

    return 0;
}
标签:

给我留言

Copyright © 九毛的官方博客 保留所有权利.   Theme  Ality

用户登录