suricata 3.1 源码分析34 （FlowWorker处理流程3 - 流重用）

超、凢脫俗 2022-07-13 07:27 204阅读 0赞

上一章提到了一个流重用的概念，这里主要说一下。根据code，所谓流重用仅仅重用了流的thread\_id。其他内容都是新建流得来的，具体threa\_id有什么作用以后看到了再分析，今天就说一下什么样的流可以被重用。

//这就是判断包所属的流是否能重用的函数
    int TcpSessionPacketSsnReuse(const Packet *p, const Flow *f, const void *tcp_ssn)
    {
        if (p->proto == IPPROTO_TCP && p->tcph != NULL) {
    
    /*判断包是不是一次会话中的第一个包，这里的会话可以理解为一次完整的 tcp三次握手和四次挥手。*/
            if (TcpSessionPacketIsStreamStarter(p) == 1) {
    /*这里判断包的流向，并根据流向以及对应流中的状态判断该流是否可重用流*/
                if (TcpSessionReuseDoneEnough(p, f, tcp_ssn) == 1) {
                    return 1;
                }
            }
        }
        return 0;
    }

/*判断包是否是会话的开始*/
    static int TcpSessionPacketIsStreamStarter(const Packet *p)
    {
    /*包的flags为TH_SYN返回1*/
        if (p->tcph->th_flags == TH_SYN) {
            SCLogDebug("packet %"PRIu64" is a stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
            return 1;
        }
    /*中间流且包的标志为TH_SYN|TH_ACK，返回1*/
        if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
            if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
                SCLogDebug("packet %"PRIu64" is a midstream stream starter: %02x", p->pcap_cnt, p->tcph->th_flags);
                return 1;
            }
        }
        return 0;
    }

/*通过会话的状态判断流是否可以被重用*/
    int TcpSessionReuseDoneEnough(const Packet *p, const Flow *f, const TcpSession *ssn)
    {
        if (p->tcph->th_flags == TH_SYN) {
            return TcpSessionReuseDoneEnoughSyn(p, f, ssn);
        }
    
        if (stream_config.midstream == TRUE || stream_config.async_oneside == TRUE) {
            if (p->tcph->th_flags == (TH_SYN|TH_ACK)) {
                return TcpSessionReuseDoneEnoughSynAck(p, f, ssn);
            }
        }
    
        return 0;
    }