Suricata 中 PKT_PROTO_DETECT_TS_DONE 和 FLOW_PROTO_DETECT_TS_DONE 的作用分析 在 Suricata 中，PKT_PROTO_DETECT_TS_DONE 和 FLOW_PROTO_DETECT_TS_DONE 是两个密切相关的标志位，用于指示应用层协议检测（AppLayer Protocol Detection）在 To Ser...

Suricata 大象流 (Elephant Flow) 机制与配置说明 1. 概述 FlowUpdateFlowRate 是 Suricata 核心代码中用于监控流带宽使用情况的关键函数。它的主要职责是实时统计流的传输速率，并检测该流是否符合“大象流”的定义。 一旦一个流被判定为大象流（Elephant Flow），Suricata 会对其进行标记，以便进行性能优化（如停止后续的速率...

Suricata 中 flow->thread_id 索引值差异分析 在 Suricata 的 Flow 结构中，thread_id 是一个包含两个元素的数组 (flow->thread_id[2])。这两个元素分别记录了流的两个方向（Client->Server 和 Server->Client）是由哪个线程 ID 进行处理的。 当 flow->threa...

Suricata PreFlowHook 配置与原理说明 PreFlowHook 是 Suricata 内部的一个挂载点，位于流（Flow）建立或查找之前。利用该 Hook 可以在极早的阶段处理数据包，非常适合高性能的黑名单丢弃或白名单放行。 1. 怎样配置 Rules 和 Suricata 你不需要在 suricata.yaml 中开启特定的“开关”来启用 PreFlowHook。只...

Suricata Midstream Flow Direction Correction Analysis 在 Suricata 中，针对 midstream（流的中途截获）流量方向判断错误的更正，并没有物理修改 Flow 结构体中的 sp 和 dp 字段。相反，它是通过设置一个标志位来进行逻辑上的更正。 结论 物理存储：Flow 结构体中的 sp (Source Port) 和...

Suricata功能详解：从IP信誉到中央日志平台 本文档整理了关于Suricata核心功能的一系列问答，涵盖了IP信誉（IP Reputation）机制的原理、部署方法，以及如何与中央日志平台集成以构建现代化的网络安全监控体系。 一、什么是IP信誉 (IP Reputation)？ Suricata的IP信誉功能是一种机制，用于根据IP地址的已知“声誉”来识别和处理网络流量。 简单...

Suricata Flow状态机详细分析 概述 Suricata中的Flow状态机是网络流量处理的核心机制，它跟踪和管理网络连接的整个生命周期。本文档详细描述了Flow状态机的各个状态、状态转换条件以及相关处理逻辑。 1. 状态定义 Suricata中的Flow状态定义在src/flow.h中： enum FlowState { FLOW_STATE_NEW = 0, ...

记录一次ftp-data流量乱序导致的suricata始终不输出fileinfo 现象 回放乱序包后，fileinfo事件始终不产生 ./src/suricata -c /root/caracal/watermark.yaml -k none -r /root/caracal/pcap/ --pcap-file-continuous 调试步骤 # 首先关闭randomhash, ...

Suricata DisableDetectFlowFileFlags 分析 本文档详细分析了 DisableDetectFlowFileFlags 函数的作用、判断逻辑，以及检测引擎（Detection Engine）与应用层解析器（App-Layer Parser）之间的关系。 1. DisableDetectFlowFileFlags 的作用 DisableDetectFlowF...

FLOW_TS_APP_UPDATE_NEXT标志详解 概述 FLOW_TS_APP_UPDATE_NEXT是Suricata中Flow结构的一个标志位，用于控制应用层状态更新的时序。它与FLOW_TC_APP_UPDATE_NEXT、FLOW_TS_APP_UPDATED和FLOW_TC_APP_UPDATED等标志协同工作，管理网络流的双向应用层状态同步。 1. 标志定义 // ...