Snort安裝使用中文手冊5.1 Snort 數據流
首先,通過libpcap從網絡鏈接獲取流量。數據包通過一系列解碼器例程傳遞,這些例程首先為鏈路級協議填寫數據包結構,然后進一步對TCP和UDP端口進行解碼。
然后通過已注冊的一組預處理器發送數據包。每個預處理程序都要檢查這個包是否值得查看。
然后通過檢測引擎發送數據包。檢測引擎根據Snort配置文件中列出的各種選項檢查每個包。每個關鍵字選項都是一個插件。這使得它可以很容易地擴展。
5.1.1 預處理器
例如,如果數據包沒有TCP報頭,TCP分析預處理器可以簡單地返回。它可以通過檢查:
if (p->tcph==null)
return;類似地,有許多可用的packet_flags可用于將包標記為“重新組裝”或記錄。檢查src/decode.h以獲得pkt_常量列表。
5.1.2 檢測插件
基本上,把一個已有的輸出插件復制到一個新的項目中,并做一些修改。稍后,我們將記錄這幾個東西是什么。
5.1.3 輸出插件
通常,新的輸出插件應該進入barnyard項目,而不是Snort項目。我們目前正在清理可用的輸出選項。
