Suricata中对纯ip的加载是单独作为一个模块的,称之为IpOnly规则。
那么,本文将以三个方面来介绍如何对程序进行优化。
- 什么是IpOnly规则
- IpOnly规则如何组织
- IpOnly规则如何匹配
1 什么是IpOnly规则
IpOnly规则在规则解析后,由SignatureIsPDOnly函数进行判断, 不满足IpOnly的规则大致可分为以下情况:
- 未知协议,即不在AppProtoEnum结构体中定义的协议
- 含模式匹配,即存在option带content,或pcre等等
- 地址中存在非规则,即!1.1.1.1 any -> any any
- 与IpOnly不兼容的一些option,例如DETECT_FLOWBITS(需要有setbits)
2 IpOnly规则如何组织
IpOnly规则比较特殊,一般认为命中源和目的ip地址,再校验以下其他头部信息,就可以认为该报文 可以命中这条规则。那么我们的重点就放在了如何组织ipv4,ipv6地址,并高效的进行匹配。
这里面suricata借鉴了BSD操作系统中路由表查找算法-Radix Tree,路由表查找本质就是对目的ip进行 最长掩码匹配,而索引到路由表中的下一跳。那么,我们先看看radix tree的基本思想。
Radix Tree本质是一个二叉树,由内部节点和外部节点,内部节点用于指示需要进行bit test的位置,并根据测试结果决定查找方向,外部节点则用于存储键值。
Suricata具体实现在IPOnlyPrepare中,它分别建立了4个Radix Tree,代表源ipv4/6,目的ipv4/6。
精确IP添加的步骤:
- 将插入的节点放在树中匹配,如果键值一样则挂在掩码链表的合适位置,否则就要记录它们第一次出现不同bit的位置。
- 公共相同掩码切分,看下面这个图比较好理解,旧节点和新节点第一次不一样的地方是148:
插入前:
插入后:
网段IP添加的步骤:
- 类似于192.171.192.0/18这种网段形式的ip插入,首先先将ip和mask作个与运算,生成的key不断进行进行bit test找到叶子节点,然后最大公共相同的位置,生成新的父节点。这一步和精确ip的插入是一样的。
- 如果当前网段ip的掩码小于或等于父节点的bit位置,那么我们可以认为这个叶子结点可以覆盖父节点下所有的节点,因此新增父节点的netmask为18。
3 IpOnly规则如何匹配
匹配在函数SCRadixFindKeyIPV4BestMatch 及SCRadixFindKeyIPV6BestMatch中。 查找步骤可分为3步,寻叶-》辩重-》回溯:
- 不停的bit test进行左右路径深入,终结于某个叶子节点后,判断该叶子节点是否与查找键相同。
- 如果第一步骤精确匹配不到,则在这个叶子节点的重复键链表中查找掩码匹配的可能,掩码是按从大到小进行排列:192.168.0.0/16和192.168.0.0/20
scss
//查掩码链表
SCRadixPrefixContainNetmaskAndSetUserData(node->prefix, netmask_node->netmasks[j], 0, user_data_result))
//精确匹配
SCRadixPrefixContainNetmaskAndSetUserData(node->prefix, key_bitlen, 1, user_data_result)- 如果第二步骤也没有找到,那么需要向父亲节点回溯,将查找键和该掩码进行逻辑与运算,产生一个新的查找键再进行查找,因为树顶代表的是大家拥有前缀一致的ip地址,那么如果存在该中间节点掩码列表中掩码够小,那么是存在网络匹配的可能的。
