2. 程式人生 > 其它 >Suricata新增POP3協議解析(未完待續)

Suricata新增POP3協議解析(未完待續)

阿新 發佈:2022-04-22

1. 生成新協議的解析模板

例:建立pop3協議的解析模板

scripts資料夾下 setup-app-layer_原版.py 檔案適用於python3,setup-app-layer.py 適用於python2

cd suricata-6.0.3
python scripts/setup-app-layer.py Pop3

執行指令碼後新增檔案:

src/app-layer-pop3.c pop3協議的應用層檢測器和解析器
src/app-layer-pop3.h
src/output-json-arp.c pop3協議的JSON應用層事務記錄器
src/output-json-arp.h

修改的檔案:

src/Makefile.am 新增解析器和輸出模組原始碼檔案
suricata.yaml.in 新增協議解析配置,新增輸出輸出配置
src/suricata-common.h 新增輸出模組號列舉
src/output.c 新增輸出模組註冊函式
src/util-profiling.c 新增輸出模組號與其等價字串對映
src/app-layer-protos.h 新增協議號列舉
src/app-layer-protos.c 新增協議名與協議號對映
src/app-layer-detect-proto.c 新增協議名與協議號對映
src/app-layer-parser.c 新增解析器註冊函式

問題記錄

解決步驟:

  1. autoscan產生一個configure.in的原型,執行autoscan後會產生一個configure.scan的檔案,可以用它作為configure.in的藍本

  2. 執行aclocalautoconf,分別會產生aclocal.m4configure兩個檔案

  3. 然後執行automake --add-missing

  4. 最後執行./configure等繼續其他步驟即可

2. 修改協議解析器的實現

協議識別

(1)字串檢索

新增 Pop3RegisterPatternsForProtocolDetection 函式為Pop3協議註冊關鍵字"USER","PASS"和"APOP",在註冊解析器時(RegisterPop3Parsers

)呼叫 ,關鍵字註冊函式 AppLayerProtoDetectPMRegisterPatternCI

(2)埠檢測

修改 AppLayerProtoDetectPPRegister 埠註冊函式,預設埠改為110

/* The default port to probe for echo traffic if not provided in the
 * configuration file. */
#define POP3_DEFAULT_PORT "110"

/* The minimum size for a message. For some protocols this might
 * be the size of a header. */
#define POP3_MIN_FRAME_LEN 3

還可在配置檔案中新增多個埠,如下(需要注意的是,每一項必須嚴格用空格對齊,埠之前用空格間隔)

協議解析


3. 修改輸出模組的實現

相關推薦

Suricata新增POP3協議解析待續

1. 生成新協議解析模板 例:建立pop3協議解析模板 scripts資料夾下 setup-app-layer_原版.py 檔案適用於python3,setup-app-layer.py 適用於python2

C++ 面試考點總結待續

C++ 面試準備 C++語言基礎知識 sizeof作用: sizeof空型別,返回值為1。 原因:宣告空型別時,必須在記憶體中佔一定的空間,否則無法使用這些例項。佔用多少記憶體,由編譯器決定,Visual Studio中,空型別的例項

《網路流24題》待續

主要是想把這些題幹掉 很多都還沒寫,慢慢來 某些題目可以不需要網路流的emm就再說吧

關於FastJson漏洞的一切待續

前言 不知道怎麼入的坑,看到了FastJson的反序列漏洞,然後就想復現,復現的過程中我有諸多疑惑,不清楚POC的原理,不知道如何使用intellij IDEA動態的跟蹤除錯,對Java程式碼的極度不熟悉,再加上第一次接觸FastJso

重學flutter第三天下-StatefulWidget的使用待續

上篇文章介紹了StatelessWidget的使用,這篇文章介紹一下StatefulWidget的使用,類似React的有狀態的元件,使用StatefulWidget元件分為兩步:

每天一點點之資料結構與演算法 - 線性排序:計數排序Counting sort待續

個人覺得,記數排序其實是桶排序的一直特殊情況。當要排序當資料是n,所處的資料範圍不大的時候,最大值為k,我們就可以把資料劃分為k個桶。每個桶內大資料都相同,省去了桶內快排的時間。

React Native iOS 自動打包+釋出歷險記待續

一、配置環境iOS在環境這塊比安卓的要簡單一些,不用配置環境變數,只需要準備一臺mac原先想用linux來搞,被勸退。安裝或升級到xcode最新版。測試下使用xcode工具打離線包,專案先初始化好,然後按標準流程打包即

可惡的BMI指數顯示的作業待續

技術標籤:無愛之作業python 可惡的BMI指數顯示的作業待續 class BMI: def __init__(self,name,age,weight,height):

gRPC和Protobuf的筆記待續

通過gRPC和Protobuf實現簡單分散式應用 技術簡介 gRPC框架 gRPC框架是一個新式的中立的高效能通訊框架。gRPC框架中的客戶端 就像呼叫本地服務一樣呼叫遠端服務。

Hive面試題待續...

Hive架構     1. 使用者介面:Client CLIcommand-line interface、JDBC/ODBC(jdbc訪問hive)

Zookeeper面試題待續...

什麼是Zookeeper Zookeeper從設計模式角度來理解,是一個基於觀察者模式設計的分散式服務管理框架,它負責儲存和 管理大家都關心的資料,然後接受觀察者的註冊,一旦這些資料的狀態發生了變化,Zookeeper就負責 通知

Flume面試題待續...

什麼是Flume Flume 是 Cloudera 提供的一個高可用的,高可靠的,分散式的海量日誌採集、聚合和傳輸的系統。Flume 基於流式架構,靈活簡單。

Kafka面試題待續...

什麼是Kafka 傳統定義:Kafka是一種高吞吐量的分散式釋出訂閱訊息系統,它可以處理消費者在網站中的所有動作流資料。

sql注入學習總結待續

什麼是SQL注入SQL注入Sql Injection 是一種將SQL語句插入或新增到應用(使用者)的輸入引數中的攻擊這些引數傳遞給後臺的SQL資料庫伺服器加以解析並執行哪裡存在SQL注入?

android串列埠讀卡協議解析例Uart介面

技術標籤:資料解析串列埠通訊 定義串列埠物件、流物件、開啟串列埠 private ByteBuffer mBuffer;

Dubbo原始碼解析二十四遠端呼叫——dubbo協議

遠端呼叫——dubbo協議 目標:介紹遠端呼叫中跟dubbo協議相關的設計和實現,介紹dubbo-rpc-dubbo的原始碼。

Dubbo原始碼解析三十一遠端呼叫——rmi協議

遠端呼叫——rmi協議 目標:介紹rmi協議的設計和實現,介紹dubbo-rpc-rmi的原始碼。

Dubbo原始碼解析二十六遠端呼叫——http協議

遠端呼叫——http協議 目標:介紹遠端呼叫中跟http協議相關的設計和實現,介紹dubbo-rpc-http的原始碼。

Dubbo原始碼解析二十五遠端呼叫——hessian協議

遠端呼叫——hessian協議 目標:介紹遠端呼叫中跟hessian協議相關的設計和實現,介紹dubbo-rpc-hessian的原始碼。

Java集合框架梳理基於JDK1.8

Java集合類主要由兩個介面Collection和Map派生出來的,Collection派生出了三個子介面:List、Set、QueueJava5新增的佇列,因此Java集合大致也可分成List、Set、Queue、Map四種介面體系