suricata7.0.5

一、前提条件

1.1 关键字注册

main
|
--> SuricataMain|--> PostConfLoadedSetup|--> SigTableSetup

sigmatch_table是一个全局数组，每个元素就是一个关键字节点，是对关键字如何处理等相关回调函数。非常重要的一个结构，后续的规则加载处理都需要此结构。

/* Table with all SigMatch registrations */
SigTableElmt sigmatch_table[DETECT_TBLSIZE];

比如http协议的method注册

sigmatch_table[DETECT_HTTP_METHOD].name = "http.method";
sigmatch_table[DETECT_HTTP_METHOD].desc = "sticky buffer to match specifically and only on the HTTP method buffer";
sigmatch_table[DETECT_HTTP_METHOD].url = "/rules/http-keywords.html#http-method";
sigmatch_table[DETECT_HTTP_METHOD].Setup = DetectHttpMethodSetupSticky;
sigmatch_table[DETECT_HTTP_METHOD].flags |= SIGMATCH_NOOPT|SIGMATCH_INFO_STICKY_BUFFER;

最终的结果如下图

这里主要关注Setup回调，后续规则加载处理时会调用

1.2 DetectBufferType注册

DetectBufferType结构也是非常重要的，在加载规则处理过程需要使用。
通过HashListTable结构将所有注册的DetectBufferType进行
这里主要关注name和id, 其他字段暂时不关注

二、规则加载

后续将以alert http any any -> [192.168.1.27,1.192.137.27] 80 (msg:"HTTP Request Example"; flow:established,to_server; http.method; content:"POST"; http.uri; content:"query.php"; bsize:>9; http.protocol; content:"HTTP/1.1"; bsize:8; http.host; content:"360"; bsize:>3; classtype:bad-unknown; sid:25; rev:1;) 为例，逐一分析加载流程。

DetectEngineAppendSig
|
--> SigInit|--> SigInitHelper

2.1 创建Signature

每条规则对应一个Signature对象

...
Signature *sig = SigAlloc();
...

2.2 解析action

SigParseAction(...)

后续继续header + options