不多说,直接上干货!

  suricata的基本组成。Suricata是由所谓的线程(threads)、线程模块 (thread-modules)和队列(queues)组成。Suricata是一个多线程的程序,因此在同一时刻会有多个线程在工作。线程模块是依据 功能来划分的,比如一个模块用于解析数据包,另一个模块用于检测数据包等。每个数据包可能会有多个不同的线程进行处理,队列就是用于将数据包从一个线程传 递到另一个线程。与此同时,一个线程可以拥有多个线程模块,但是在某一时刻只有一个模块在运行(原文是If they have more modules, they can only be active on a a time.看不大懂,感觉是这个意思)。

  Suricata支持多种运行模式。运行模式决定了不同的线程如何用于IDS。

  以下命令可以查看所有 可用的运行模式

[root@suricata ~]# sudo /usr/local/bin/suricata --list-runmodes

------------------------------------- Runmodes ------------------------------------------

| RunMode Type  | Custom Mode       | Description

|----------------------------------------------------------------------------------------

| PCAP_DEV          | single            | Single threaded pcap live mode

|                   ---------------------------------------------------------------------

|                   | autofp            | Multi threaded pcap live mode.  Packets from each flow are assigned to a single detect thread, unlike "pcap_live_auto" where packets from the same flow can be processed by any detect thread

|                   ---------------------------------------------------------------------

|                   | workers           | Workers pcap live mode, each thread does all tasks from acquisition to logging

|----------------------------------------------------------------------------------------

| PCAP_FILE         | single            | Single threaded pcap file mode

|                   ---------------------------------------------------------------------

|                   | autofp            | Multi threaded pcap file mode.  Packets from each flow are assigned to a single detect thread, unlike "pcap-file-auto" where packets from the same flow can be processed by any detect thread

|----------------------------------------------------------------------------------------

| PFRING(DISABLED)  | autofp            | Multi threaded pfring mode.  Packets from each flow are assigned to a single detect thread, unlike "pfring_auto" where packets from the same flow can be processed by any detect thread

|                   ---------------------------------------------------------------------

|                   | single            | Single threaded pfring mode

|                   ---------------------------------------------------------------------

|                   | workers           | Workers pfring mode, each thread does all tasks from acquisition to logging

|----------------------------------------------------------------------------------------

| NFQ               | autofp            | Multi threaded NFQ IPS mode with respect to flow

|                   ---------------------------------------------------------------------

|                   | workers           | Multi queue NFQ IPS mode with one thread per queue

|----------------------------------------------------------------------------------------

| NFLOG             | autofp            | Multi threaded nflog mode

|                   ---------------------------------------------------------------------

|                   | single            | Single threaded nflog mode

|                   ---------------------------------------------------------------------

|                   | workers           | Workers nflog mode

|----------------------------------------------------------------------------------------

| IPFW              | autofp            | Multi threaded IPFW IPS mode with respect to flow

|                   ---------------------------------------------------------------------

|                   | workers           | Multi queue IPFW IPS mode with one thread per queue

|----------------------------------------------------------------------------------------

| ERF_FILE          | single            | Single threaded ERF file mode

|                   ---------------------------------------------------------------------

|                   | autofp            | Multi threaded ERF file mode.  Packets from each flow are assigned to a single detect thread

|----------------------------------------------------------------------------------------

| ERF_DAG           | autofp            | Multi threaded DAG mode.  Packets from each flow are assigned to a single detect thread, unlike "dag_auto" where packets from the same flow can be processed by any detect thread

|                   ---------------------------------------------------------------------

|                   | single            | Singled threaded DAG mode

|                   ---------------------------------------------------------------------

|                   | workers           | Workers DAG mode, each thread does all  tasks from acquisition to logging

|----------------------------------------------------------------------------------------

| AF_PACKET_DEV     | single            | Single threaded af-packet mode

|                   ---------------------------------------------------------------------

|                   | workers           | Workers af-packet mode, each thread does all tasks from acquisition to logging

|                   ---------------------------------------------------------------------

|                   | autofp            | Multi socket AF_PACKET mode.  Packets from each flow are assigned to a single detect thread.

|----------------------------------------------------------------------------------------

| NETMAP(DISABLED)  | single            | Single threaded netmap mode

|                   ---------------------------------------------------------------------

|                   | workers           | Workers netmap mode, each thread does all tasks from acquisition to logging

|                   ---------------------------------------------------------------------

|                   | autofp            | Multi threaded netmap mode.  Packets from each flow are assigned to a single detect thread.

|----------------------------------------------------------------------------------------

| UNIX_SOCKET       | single            | Unix socket mode

|----------------------------------------------------------------------------------------

[root@suricata ~]#

  Suricata的运行方式就是上面介绍的线程(threads)线程模块(thread-modules)队列(queues)三种元素的不 同组合方式。

  上图中的RunMode Type并不是配置文件中的runmodes选项,而是后面的Custom Mode也就是自定义模式才可以在此处设置。比如默认的Runmodes是autofp,在线实时检测流量的模式中其结构如下,单线程模块获取数据包和解码,多线程模块检测。

  以下大家也可以去官网看。

https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Runmodes

Example of the default runmode:(即这是Suricata的的默认运行模式:autofp)

  Suricata使用的默认运行模式是autofp(代表“自动流绑定负载均衡模式”)。在这种模式下,来自每一路流的数据包被分配给单一的检测线程。流被分配给了未处理数据包数量最少的线程。

In the pfring mode, every flow follows its own fixed route in the runmode.

Suricata的所有运行方式模式(图文详解)的更多相关文章

  1. Activity启动模式图文详解

    转载自:http://jcodecraeer.com/a/anzhuokaifa/androidkaifa/2015/0520/2897.html  英文原文:Understand Android A ...

  2. Centos 7 进入单用户模式图文详解

    由于昨晚做了一个很傻X的事情,所以有幸进入了CentOS 7 的单用户模式. CentOS 7 在进入单用户的时候和6.x做了很多的改变, 下面让我们来看看如何进入单用户模式. 如何进入CentOS ...

  3. Stamus Networks的产品SELKS(Suricata IDPS、Elasticsearch 、Logstash 、Kibana 和 Scirius )的下载和安装(带桌面版和不带桌面版)(图文详解)

    不多说,直接上干货!  SELKS是什么? SELKS 是Stamus Networks的产品,它是基于Debian的自启动运行发行,面向网络安全管理.它基于自己的图形规则管理器提供一套完整的.易于使 ...

  4. Window下PHP三种运行方式图文详解,window下的php是不是单进程的?

    Window下PHP三种运行方式图文详解,window下的php是不是单进程的? PHP运行目前为止主要有三种方式: a.以模块加载的方式运行,初学者可能不容易理解,其实就是将PHP集成到Apache ...

  5. 基于CentOS6.5或Ubuntu14.04下Suricata里搭配安装 ELK (elasticsearch, logstash, kibana)(图文详解)

    前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS.IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐) 基于Ubuntu14.04下Suricata(一款高性能的网络ID ...

  6. suricata.yaml (一款高性能的网络IDS、IPS和网络安全监控引擎)默认配置文件(图文详解)

    不多说,直接上干货! 前期博客 基于CentOS6.5下Suricata(一款高性能的网络IDS.IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐) 或者 基于Ubuntu14.04下Suric ...

  7. 基于CentOS6.5下Suricata(一款高性能的网络IDS、IPS和网络安全监控引擎)的搭建(图文详解)(博主推荐)

    不多说,直接上干货! 为什么,要写这篇论文? 是因为,目前科研的我,正值研三,致力于网络安全.大数据.机器学习研究领域! 论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境.也不局限于真实物 ...

  8. Cocos2d-x win7 + vs2010 配置图文详解

    Cocos2d-x win7 + vs2010 配置图文详解 下载最新版的cocos2d-x.打开浏览器,输入cocos2d-x.org,然后选择Download,本教程写作时最新版本为cocos2d ...

  9. Hadoop集群搭建安装过程(三)(图文详解---尽情点击!!!)

    Hadoop集群搭建安装过程(三)(图文详解---尽情点击!!!) 一.JDK的安装 安装位置都在同一位置(/usr/tools/jdk1.8.0_73) jdk的安装在克隆三台机器的时候可以提前安装 ...

  10. HTML标签----图文详解

    国庆节快乐,还在加班的童鞋,良辰必有重谢! 本文主要内容 头标签 排版标签:<p>     <br>     <hr>     <center>     ...

随机推荐

  1. M公司入职记

    非常遗憾,我又跳槽了,到传说中的M公司,第一天就体会到了,神马叫差距. 要求9点30到,提前10分钟到了前台.前台MM懵懂的跟我说入职找人事,好吧. 电话联系相关人等,等到10点左右,被引导到一位不知 ...

  2. Spring学习笔记——Spring中lazy-init与abstract具体解释

    Spring的懒载入的作用是为了避免无谓的性能开销,就是当真正须要数据的时候才去运行数据的载入操作.不只在Spring中.我们在实际的编码过程中也应该借鉴这种思想,来提高我们程序的效率. 首先我们看一 ...

  3. Pierce振荡器设计

    一.Pierce振荡器电路 Inv:内部反相器,作用等同于放大器: Q:石英晶体或陶瓷晶振: RF:内部反馈电阻(使反相器工作在线性区): RExt:外部限流电阻(防止石英晶体被过分驱动): CL1. ...

  4. 【iOS系列】-UIButton的非常规使用

    [iOS系列]-UIButton的非常规使用 主要介绍UIButton在开发中得小技巧,使用好了,可以达到很奇妙的效果. 1:设置按钮内边距属性,可以呈现出相框的效果 btn.contentEdgeI ...

  5. github的提交源码到服务器

    github是现代的代码库,各种牛人,各种开源,也是现在大公司招聘的一个考察点, 这里介绍一下怎样把本地源码提交到github上. 首先我们需要在github上创建一个respository. 2,输 ...

  6. 使用spring框架时,使用xml还是注解

    1 xml的优缺点 1.1 优点 解耦合,方便维护.xml不入侵代码,方便代码阅读. 1.2 缺点 开发速度慢. 2 注解的优缺点 2.1 优点 能够加快开发速度,因为它将常用的主体逻辑隐藏在注解中了 ...

  7. 20170111 ABAP技术小结(全半角转换)

    DATA: it_po LIKE it_alv OCCURS 0 WITH HEADER LINE.************************************************** ...

  8. scikit-learn 机器学习工具

    1.http://scikit-learn.org/stable/        官网:关于scikit-learn介绍等 2. http://stackoverflow.com/questions/ ...

  9. wpa_supplicant介绍【转】

    本文转载自:https://zhuanlan.zhihu.com/p/24246712 一.什么是wpa_spplicant wpa_supplicant本是开源项目源码,被谷歌修改后加入Androi ...

  10. UVA11383 Golden Tiger Claw —— KM算法

    题目链接:https://vjudge.net/problem/UVA-11383 题解: 根据KM()算法,标杆满足:l(x) + l(y) >= w(x, y) . 当求完最大权匹配之后,所 ...