2. 程式人生 > >suricata 3.1 原始碼分析14 (流查詢分配)

suricata 3.1 原始碼分析14 (流查詢分配)

阿新 發佈:2019-02-14

流查詢/分配

通過FlowWorker執行緒函式中呼叫FlowHandlePacket來找到流。
下面將按照FlowHandlePacket的流程,分析flow engine對於新送入的解碼後的資料包是如何處理的。
對於一個Packet,首先在流表中查詢其所屬的流是否已經存在,若存在,則直接返回該流的引用即可,否則就需要分配一個新流。
該過程的實現由FlowGetFlowFromHash完成,函式會返回一個Flow指標,表示找到的或新分配的流。

/** \brief Get Flow for packet
 *
 * Hash retrieval function for flows. Looks up the hash bucket containing the
 * flow pointer. Then compares the packet with the found flow to see if it is
 * the flow we need. If it isn't, walk the list until the right flow is found.
 *
 * If the flow is not found or the bucket was emtpy, a new flow is taken from
 * the queue. FlowDequeue() will alloc new flows as long as we stay within our
 * memcap limit.
 *
 * The p->flow pointer is updated to point to the flow.
 *
 *  \param tv thread vars
 *  \param dtv decode thread vars (for flow log api thread data)
 *
 *  \retval f *LOCKED* flow or NULL
 */
 

Flow *FlowGetFlowFromHash(ThreadVars *tv, DecodeThreadVars *dtv, const Packet *p, Flow **dest)
{
    Flow *f = NULL;

    /* get our hash bucket and lock it */
    const uint32_t hash = p->flow_hash;
//獲取包的hash,這裡的hash是由p帶來的。p的flow_hash是通過在FlowSetupPacket函式呼叫FlowGetHash,又通過FlowGetHash中的hashword生成的,對於 hash_key的獲取方法以後另行分析。
 


    FlowBucket *fb = &flow_hash[hash % flow_config.hash_size];
//以獲取到的key為索引,在流表flow_hash中獲取到一個FlowBucket的指標

    FBLOCK_LOCK(fb);
//使用FBLOCK_LOCK對該bucket上鎖。實際使用的鎖可能為spin lock或mutext,取決於FBLOCK_SPIN是否定義。

    SCLogDebug("fb %p fb->head %p", fb, fb->head);

    /* see if the bucket already has a flow */
 

    if (fb->head == NULL) {
//說明這個bucket中還沒有流

        f = FlowGetNew(tv, dtv, p);
//呼叫FlowGetNew新分配一個流

        if (f == NULL) {
            FBLOCK_UNLOCK(fb);
            return NULL;
        }

        /* flow is locked */
        fb->head = f;
        fb->tail = f;

        /* got one, now lock, initialize and return */
        FlowInit(f, p);
//使用Packet的資訊初始化這個新流

        f->flow_hash = hash;
        f->fb = fb;
//設定流的flow_hash和fb

        /* update the last seen timestamp of this flow */
        COPY_TIMESTAMP(&p->ts,&f->lastts);
//記錄最後一次更新流的時間

        FlowReference(dest, f);
//使用FlowReference將p->flow指向剛獲取流,該函式內部會使用FlowIncrUsecnt增加該流的使用計數。注意,該機制的目的與通常的引用計數不同,不是為了在沒有引用時回收資源,而是為了避免出現誤刪除等問題

        FBLOCK_UNLOCK(fb);
//FBLOCK_UNLOCK解鎖並返回這個流。由於FlowGetNew中會呼叫FLOWLOCK_WRLOCK對flow進行上鎖(因為後面需要使用),因此這裡就不需要再鎖了。

        return f;
    }

//以下程式碼為fb->head不為NULL,即bucket中有流時,嘗試從其中的Flow連結串列中查詢該packet所屬的Flow
    /* ok, we have a flow in the bucket. Let's find out if it is our flow */
    f = fb->head;

    /* see if this is the flow we are looking for */
    if (FlowCompare(f, p) == 0) {
//代表f和p不匹配,為1匹配,為0不匹配
        Flow *pf = NULL; /* previous flow */

        while (f) {
            pf = f;
            f = f->hnext;

            if (f == NULL) {
                f = pf->hnext = FlowGetNew(tv, dtv, p);
                if (f == NULL) {
                    FBLOCK_UNLOCK(fb);
                    return NULL;
                }
                fb->tail = f;

                /* flow is locked */

                f->hprev = pf;

                /* initialize and return */
                FlowInit(f, p);
                f->flow_hash = hash;
                f->fb = fb;

                /* update the last seen timestamp of this flow */
                COPY_TIMESTAMP(&p->ts,&f->lastts);
                FlowReference(dest, f);

                FBLOCK_UNLOCK(fb);
                return f;
            }
//若未找到,則與4類似,獲取一個新流並初始化,然後掛到連結串列尾部再返回。注意,這裡並沒有移到頭部,因為新流不代表就是活躍流。

            if (FlowCompare(f, p) != 0) {
                /* we found our flow, lets put it on top of the
                 * hash list -- this rewards active flows */
                if (f->hnext) {
                    f->hnext->hprev = f->hprev;
                }
                if (f->hprev) {
                    f->hprev->hnext = f->hnext;
                }
                if (f == fb->tail) {
                    fb->tail = f->hprev;
                }

                f->hnext = fb->head;
                f->hprev = NULL;
                fb->head->hprev = f;
                fb->head = f;

                /* found our flow, lock & return */
                FLOWLOCK_WRLOCK(f);
                if (unlikely(TcpSessionPacketSsnReuse(p, f, f->protoctx) == 1)) {
                    f = TcpReuseReplace(tv, dtv, fb, f, hash, p);
                    if (f == NULL) {
                        FBLOCK_UNLOCK(fb);
                        return NULL;
                    }
                }

                /* update the last seen timestamp of this flow */
                COPY_TIMESTAMP(&p->ts,&f->lastts);
                FlowReference(dest, f);

                FBLOCK_UNLOCK(fb);
                return f;
            }
//使用FlowCompare比較head flow與packet,若相匹配,則說明已經找到了,且這個流已經在頭部不需要再調整,則先鎖上該flow再解鎖bucket,然後返回。
        }
    }

    /* lock & return */
    FLOWLOCK_WRLOCK(f);
    if (unlikely(TcpSessionPacketSsnReuse(p, f, f->protoctx) == 1)) {
        f = TcpReuseReplace(tv, dtv, fb, f, hash, p);
        if (f == NULL) {
            FBLOCK_UNLOCK(fb);
            return NULL;
        }
    }

    /* update the last seen timestamp of this flow */
    COPY_TIMESTAMP(&p->ts,&f->lastts);
//記錄最後一次更新流的時間

    FlowReference(dest, f);
//將dest指向f,此處dest為p->flow,由函式傳入。

    FBLOCK_UNLOCK(fb);
    return f;
}

相關推薦

suricata 3.1 原始碼分析14 查詢分配

流查詢/分配 通過FlowWorker執行緒函式中呼叫FlowHandlePacket來找到流。 下面將按照FlowHandlePacket的流程,分析flow engine對於新送入的解碼後的資料包是如何處理的。 對於一個Packet,首先在流表中查詢其

suricata 3.1 原始碼分析13 初始化

簡介 Suricata中用於管理和維護流的模組稱為Flow Engine,主要由兩部分實現,第一部分的入口點是FlowHandlePacket函式,用於為新資料包進行流查詢/分配,另一部分是FlowManagerThread執行緒,用於對超時的流進行刪除。

suricata 3.1 原始碼分析36 dns解析獲取相關內容

在app-layer-dns-udp.c檔案的DNSUDPRequestParse函式中呼叫DNSStoreQueryInState函式,該函式在app-layer-dns-common.c檔案中。DNSStoreQueryInState中會取dns資訊,包括type, cl

區塊鏈教程Fabric1.0原始碼分析floggingFabric日誌系統

  區塊鏈教程Fabric1.0原始碼分析flogging(Fabric日誌系統),2018年下半年,區塊鏈行業正逐漸褪去發展之初的浮躁、迴歸理性,表面上看相關人才需求與身價似乎正在回落。但事實上,正是初期泡沫的漸退,讓人們更多的關注點放在了區塊鏈真正的技術之上。 Fabric 1.0原始碼筆記 之 flo

區塊鏈教程Fabric1.0原始碼分析scc系統鏈碼

  區塊鏈教程Fabric1.0原始碼分析scc(系統鏈碼),2018年下半年,區塊鏈行業正逐漸褪去發展之初的浮躁、迴歸理性,表面上看相關人才需求與身價似乎正在回落。但事實上,正是初期泡沫的漸退,讓人們更多的關注點放在了區塊鏈真正的技術之上。 Fabric 1.0原始碼筆記 之 scc(系統鏈碼) 1、s

3.1 表示式求值遞迴實現

#include<iostream> #include<cstring> using namespace std; int term(); int expr(); int factor(); int expr() { i

《深入理解Spark:核心思想與原始碼分析第2章

《深入理解Spark:核心思想與原始碼分析》一書第一章的內容請看連結《第1章 環境準備》 本文主要展示本書的第2章內容: Spark設計理念與基本架構 “若夫乘天地之正,而御六氣之辯,以遊無窮者,彼且惡乎待哉?” ——《莊子·逍遙遊》 n本章導讀: 上一章,介紹了Spark環境的搭建,為方便讀

AFNetWorking(3.0)原始碼分析——AFHTTPRequestSerializer & AFHTTPResponseSerializer

在前面的幾篇部落格中,我們分析了AFURLSessionMangerd以及它的子類AFHTTPSessionManager。我們對AF的主要兩個類,有了一個比較全面的瞭解。 對於AFHTTPSessionManager,當其在要傳送請求時,會呼叫AFHTTPRequestSerial

AFNetWorking(3.0)原始碼分析——AFHTTPSessionManager(2)

在上一篇部落格中,我們分析了AFHTTPSessionManager,以及它是如何實現GET/HEAD/PATCH/DELETE相關介面的。 我們還剩下POST相關介面沒有分析,在這篇部落格裡面,我們就來分析一下POST相關介面是如何實現的。 multipart/form-data請

jQuery 2.0.3 原始碼分析 Deferred最細的實現剖析,帶圖

Deferred的概念請看第一篇 ******************構建Deferred物件時候的流程圖************************** **********************原始碼解析********************** 因為callback被剝

OkHttp 3.7原始碼分析——任務佇列

前面的部落格已經提到過,OkHttp的一個高效之處在於在內部維護了一個執行緒池,方便高效地執行非同步請求。本篇部落格將詳細介紹OkHttp的任務佇列機制。 1. 執行緒池的優點 OkHttp的任務佇列在內部維護了一個執行緒池用於執行具體的網路請求。而執行緒池

OkHttp 3.7原始碼分析——快取策略

合理地利用本地快取可以有效地減少網路開銷,減少響應延遲。HTTP報頭也定義了很多與快取有關的域來控制快取。今天就來講講OkHttp中關於快取部分的實現細節。 1. HTTP快取策略 首先來了解下HTTP協議中快取部分的相關域。 1.1 Expires

《深入理解Spark:核心思想與原始碼分析前言及第1

  自己犧牲了7個月的週末和下班空閒時間,通過研究Spark原始碼和原理,總結整理的《深入理解Spark:核心思想與原始碼分析》一書現在已經正式出版上市,目前亞馬遜、京東、噹噹、天貓等網站均有銷售,歡迎感興趣的同學購買。我開始研究原始碼時的Spark版本是1.2.0,經過7個多月的研究和出版社近4個月的流

OkHttp 3.7原始碼分析——整體架構

OkHttp是一個處理網路請求的開源專案,是Android端最火熱的輕量級框架,由移動支付Square公司貢獻用於替代HttpUrlConnection和Apache HttpClient。隨著OkHttp的不斷成熟,越來越多的Android開發者使用OkHtt

Android核心學習之三----------Power原始碼分析學習1

Android核心學習 -----Power原始碼分析學習(1) 1.    前言 最近學習了一下Android的Power原始碼,雖然還沒學習通透,但是有點感覺了,怕後面忘了東西,就邊學便把東西記錄下來吧。如果有大神再致電一二那更是感激不盡了 Android4.4

Shiro-1-原始碼分析一設計模式簡單工廠

這裡先看看使用的原始碼 可以認為是資料庫的shiro.ini資料 格式:賬戶=密碼 [users] zhang=123 wang=123 主要程式碼 /** * @aut

cocos2dx 3.1從零學習——菜單、場景切換、場景傳值

天空 ptr select 特效 new 要點 綁定 使用 water 回想一下上一篇的內容,我們已經學會了創建一個新的場景scene,加入sprite和label到層中。掌握了定時事件schedule。我們能夠順利的寫出打飛機的主場景框架。 上一篇的內容我練習了七個新

Sublime Text 3.1 編輯管理工程項目

sub add 打開 保存 pac 多個 switch 搜索框 In ------------------------------------------------------------------------------如果有什麽不明白的,加QQ群:186970878

EventBus 3原始碼分析

eventbus 2的原始碼分析:https://blog.csdn.net/qq_35559358/article/details/74295870 請看本篇的朋友先看2從更基礎更詳細的地方理解,篇末將加入2個版本原始碼中最大不同實現的對比,新人菜鳥,請不要罵太凶。 本篇的分析和eventbu

SNMP原始碼分析配置檔案部分

snmpd.conf想必不陌生。在程序啟動過程中會去讀取配置檔案中各個配置。其中幾個引數需要先知道是幹什麼的:   token:配置檔案的每行的開頭,例如 group MyROGroup v1 readSec 這行token的引數是group。