suricata在netmap模式用autofp方式抓包有内存泄漏的相关信息

说个小的发现。
suricata在运行netmap模式进行抓包的时候默认使用的是”workers”的工作方式。
由于其它的都是“autofp”的方式,所以就带着疑问上google上查了一下。没想到还真查到点东西。
https://redmine.openinfosecfoundatio[……]

继续阅读

suricata 3.2 源码分析(IP数据包分片重组流程)

在网络通信中如果发送的IP包超过MTU值就会将IP包拆分成多个包发送。那么在suricata中对于这种拆分开得IP包又是如何处理的呢?下面我们一步一步来分析。

判断数据包是不是分片包是在DecedeIPV4这个函数中做的,具体位置是在
数据包解析模块->DecodeEthern[……]

继续阅读

suricata 3.1 源码分析34 (FlowWorker处理流程3 – 流重用)

上一章提到了一个流重用的概念,这里主要说一下。根据code,所谓流重用仅仅重用了流的thread_id。其他内容都是新建流得来的,具体threa_id有什么作用以后看到了再分析,今天就说一下什么样的流可以被重用。

//这就是判断包所属的流是否能重用的函数
int TcpSessionPa[......]

继续阅读