#ifndef _NIDS_NIDS_H
#define _NIDS_NIDS_H
#define NIDS_MAJOR 1 /* 主版本号 */
#define NIDS_MINOR 20 /* 次版本号 */
#include <sys/types.h>
enum
{
NIDS_WARN_IP = 1, /* 表示 IP 数据包异常 */
NIDS_WARN_TCP, /* 表示 TCP 数据包异常 */
NIDS_WARN_UDP, /* 表示 UDP 数据包异常 */
NIDS_WARN_SCAN /* 表示有扫描攻击发生 */
};
enum
{
NIDS_WARN_UNDEFINED = 0, /* 表示未定义 */
NIDS_WARN_IP_OVERSIZED, /* 表示 IP 数据包超长 */
NIDS_WARN_IP_INVLIST, /* 表示无效的碎片队列 */
NIDS_WARN_IP_OVERLAP, /* 表示发生重叠 */
NIDS_WARN_IP_HDR, /* 表示无效 IP首部 ,IP 数据包发生异常 */
NIDS_WARN_IP_SRR, /* 表示源路由 IP数据包 */
NIDS_WARN_TCP_TOOMUCH, /* 表示 TCP 数据个数太多 , 因为在Libnids 中在同一时刻捕获的TCP 个数最大值为 TCP 连接参数的哈西表长度的 3/4*/
NIDS_WARN_TCP_HDR, /* 表示无效 TCP首部 ,TCP 数据包发生异常 */
NIDS_WARN_TCP_BIGQUEUE, /* 表示 TCP 接受的队列数据过多 */
NIDS_WARN_TCP_BADFLAGS /* 表示错误标记 */
};
/*Libnids 状态描述的是连接的逻辑状态, 真正的 TCP 连接状态有 11种 .
*TCP_ESTABLISHED TCP 连接建立 , 开始传输数据
*TCP_SYN_SEND 主动打开
*TCP_SYN_RECV 接受 SYN
*TCP_FIN_WAIT1
*TCP_FIN_WAIT2
*TCP_TIME_WAIT
*TCP_CLOSE
*TCP_CLOSE_WAIT
*TCP_LAST_ACK
*TCP_LISTEN
*TCP_CLOSING
*/
#define NIDS_JUST_EST 1 /* 表示 TCP 连接建立 , 在此状态下就可以决定是否对此TCP 连接进行数据分析 , 可以决定是否捕获 TCP客户端接收的数据 ,TCP 服务端接收的数据 ,TCP 客户端接收的紧急数据或者TCP 客户端接收的紧急数据 */
#define NIDS_DATA 2 /* 表示接收数据的状态 ,在这个状态可以判断是否有新的数据到达 ,如果有就可以把数据存储起来 , 可以在这个状态之中来分析 TCP 传输的数据 , 此数据就存储在half_stream 数据接口的缓存之中*/
#define NIDS_CLOSE 3 /* 表示 TCP 连接正常关闭 */
#define NIDS_RESET 4 /* 表是 TCP 连接被重置关闭 */
#define NIDS_TIMED_OUT 5 /* 表示由于超时 TCP连接被关闭 */
#define NIDS_EXITING 6 /* 表示 Libnids正在退出 , 在这个状态下可以最后一次使用存储在 half_stream 数据结构中的缓存数据 */
/* 校验和 */
#define NIDS_DO_CHKSUM 0 /* 表示告诉 Libnids要计算校验和 */
#define NIDS_DONT_CHKSUM 1 /* 表示告诉 Libnids不要计算校验和 */
struct tuple4 /* 描述一个地址端口对 , 它表示发送发IP 和端口以及接收方 IP 和端口 , 适用 TCP,UDP*/
{
u_short source; /* 源 IP 地址的端口号*/
u_short dest; /* 目的 IP 地址的端口号*/
u_int saddr; /* 源 IP 地址 */
u_int daddr; /* 目的 IP 地址 */
};
struct half_stream /* 描述在 TCP 连接中一端的所有信息, 可以是客户端 , 也可以是服务端 */
{
char state; /* 表示套接字的状态 , 也就是TCP 的状态 */
char collect; /* 可以表示有数据到达 , 此数据存放在data 成员中 , 也可以表示不存储此数据到 data中 , 此数据忽略 . 如果大于0 就存储 , 否则就忽略 */
char collect_urg; /* 可以表示有紧急数据到达 , 此数据就存放在urgdata 中 , 也可以表示不存储此数据到 urgdata中 , 此速数据忽略 . 如果大于0 就存储 , 否则就忽略 */
char *data; /* 用户存储正常接受到的数据 */
int offset; /* 表示存储在 data 中数据的第一个字节的偏移量*/
int count; /* 表示从 TCP 连接开始已经存储到data 中的数据的字节数 */
int count_new; /* 有多少新的数据存储到 data 中, 如果为 0, 则表示没有新的数据到达 */
int bufsize;
int rmem_alloc;
int urg_count; /* 用来存储紧急数据 */
u_int acked;
u_int seq;
u_int ack_seq;
u_int first_data_seq;
u_char urgdata; //存储紧急数据
u_char count_new_urg; /* 表示有新的紧急数据到达 , 如果为0 表示没有新的紧急数据 */
u_char urg_seen; //新的urg数据,不是以前重复的数据
u_int urg_ptr;/*指向urg在流中的位置*/
u_short window;
u_char ts_on;
u_char wscale_on;
u_int curr_ts;
u_int wscale;
struct skbuff *list;
struct skbuff *listtail;
};
struct tcp_stream /* 描述一个 TCP 连接的所有信息*/
{
struct tuple4 addr;
char nids_state;
struct lurker_node *listeners;
struct half_stream client; /* 表示客户端信息 */
struct half_stream server; /* 表示服务端信息 */
struct tcp_stream *next_node;
struct tcp_stream *prev_node;
int hash_index;
struct tcp_stream *next_time;
struct tcp_stream *prev_time;
int read;
struct tcp_stream *next_free;
};
struct nids_prm /* 描述了 Libnids 的一些全局参数信息*/
{
int n_tcp_streams; /* 表示哈西表大小 , 此哈西表用来存放tcp_stream 数据结构 , 默认值 1040.在同一时刻 Libnids 捕获的 TCP 数据包的最大个数必须是此参数值的3/4*/
int n_hosts; /* 表示哈西表的大小 , 此哈西表用来存储IP 碎片信息的 , 默认值为 256*/
char *device; /* 表示网络接口 ,Libnids 将在此网络接口上捕获数据, 默认值为 NULL. 这样 Libnids将使用 pcap_lookupdev来查找可以用的网络接口 . 如果其值为 all, 表示捕获所有网络接口的数据*/
char *filename; /* 表示用来存储网络数据的捕获文件 , 此文件的类型必须与 Libpcap 类型一致 , 如果设置了文件, 与此同时就应该设置 device 为 NULL,默认值为 NULL*/
int sk_buff_size; /* 表示的是数据接口 sk_buff 的大小 .sk_buff 是Linux 内核中一个重要的数据结构, 是用来进行数据包排队操作的 , 默认值为 168*/
int dev_addon; /* 表示在数据结构 sk_buff 中用于网络接口上信息的字节数. 如果是 -1( 默认值 ),那么 Libnids 会根据不同的网络接口进行修正 */
void (*syslog) (); /* 是一个函数指针 , 默认值为nids_syslog() 函数 . 在 syslog函数中可以检测入侵攻击 , 如网络扫描攻击 , 也可以检测一些异常情况, 如无效 TCP 标记 */
int syslog_level; /* 表示日志等级 , 默认值是LOG_ALERT*/
int scan_num_hosts; /* 表示一个哈西表的大小 ,( 此哈西表用来存储端口扫描信息) 表示 Libnids 将要检测的同时扫描的端口数据 . 如果其值为 0,Libnids将不提供端口扫描功能 . 默认值 256*/
int scan_delay; /* 表示在扫描检测中 , 俩端口扫描的间隔时间, 以毫秒来计算 , 缺省值为 3000*/
int scan_num_ports; /* 表示相同源地址必须扫描的 TCP 端口数目 , 默认值为10*/
void (*no_mem) (char *); /* 是一个函数指针 , 当Libnids 发生内存溢出时被调用*/
int (*ip_filter) (); /* 是一个函数指针 , 此函数可以用来分析IP 数据包 , 当有 IP 数据包到达时 , 此函数就被调用. 如果此函数返回非零值 , 此数据包就被处理 ;如果返回零 , 此 IP 数据包就被丢弃. 默认值为 nids_ip_filter 函数 , 总是返回 1.*/
char *pcap_filter; /* 表示过滤规则 , 即Libpcap 的过滤规则 , 默认值为 NULL,表示捕获所有数据包 . 可以在此设置过滤规则 , 只捕获感兴趣的开发包*/
int promisc; /* 表示网卡模式 , 如果是非零, 就把此网卡设置为混杂模式 ; 否则 , 设为非混杂模式 . 默认值为1*/
int one_loop_less; /* 初始值为 0*/
int pcap_timeout; /* 表示捕获数据返回的时间 , 以毫秒计算. 实际上它表示的就是 Libpcap 函数中的 pcap_open_live函数的 timeout 参数 , 默认值 1024*/
};
/*
* 返回值 : 调用成功返回 1,失败返回 0
* 参 数 : 无
* 功 能 : 对 Libnids 初始化, 这是所有设计基于 Libnids 的程序最开始调用的函数 . 它的主要内容包括打开网络接口 , 打开文件 , 编译过滤规则 ,
* 判断网络链路层类型, 进行必要的初始化工作
*/
int nids_init (void);
/*
* 返回值 : 无
* 参 数 : 回调函数名字
* 功 能 : 注册一个能够检测所有 IP 数据包的回调函数, 包括 IP 碎片 .e.g
nids_register_ip_frag(ip_frag_function);
void ip_frag_function(struct ip * a_packet,int len)
a_packet 表示接收的IP 数据包 len 表示接收的数据包长度
此回调函数可以检测所有的IP 数据包 , 包括 IP 碎片
*/
void nids_register_ip_frag (void (*)); /**/
/*
* 返回值 : 无
* 参 数 : 回调函数名字
* 功 能 : 注册一个回调函数 , 此回调函数可以接收正常的IP 数据包 .e.g
nids_register_ip_frag(ip_frag_function);
void ip_frag_function(struct ip * a_packet)
a_packet 表示接收的IP 数据包
此回调函数可以接收正常的IP 数据包 , 并在此函数中对捕获数到的 IP数据包进行分析 .
*/
void nids_register_ip (void (*)); /**/
/*
* 返回值 : 无
* 参 数 : 回调函数
* 功 能 : 注册一个 TCP 连接的回调函数. 回调函数的类型定义如下 :
void tcp_callback(struct tcp_stream * ns,void ** param)
ns 表示一个TCP 连接的所有信息 , param 表示要传递的参数信息 , 可以指向一个 TCP连接的私有数据
此回调函数接收的TCP 数据存放在 half_stream 的缓存中 , 应该马上取出来 ,一旦此回调函数返回 , 此数据缓存中存储的数据就不存在
了 .half_stream 成员 offset描述了被丢弃的数据字节数 . 如果不想马上取出来 , 而是等到存储一定数量的数据之后再取出来, 那么可
以使用函数nids_discard(struct tcp_stream * ns, int num_bytes)来处理 . 这样回调函数返回时 ,Libnids 将丢弃缓存数据之前
的 num_bytes 字节的数据 .如果不调用 nids_discard()函数 , 那么缓存数据的字节应该为 count_new 字节 . 一般情况下, 缓存中的数据
应该是count-offset 字节
*/
void nids_register_tcp (void (*));
/*
* 返回值 : 无
* 参 数 : 回调函数
* 功 能 : 注册一个分析 UDP 协议的回调函数, 回调函数的类型定义如下 :
void udp_callback(struct tuple4 * addr,char *buf,int len,struct ip *iph)
addr 表示地址端口信息buf 表示 UDP 协议负载的数据内容 len表是 UDP 负载数据的长度 iph 表示一个IP 数据包 , 包括 IP 首部 ,UDP 首部以及UDP 负载内容
*/
void nids_register_udp (void (*));
/*
* 返回值 : 无
* 参 数 : 表示一个 TCP 连接
* 功 能 : 终止 TCP 连接 . 它实际上是调用 Libnet的函数进行构造数据包 , 然后发送出去
*/
void nids_killtcp (struct tcp_stream *);
/*
* 返回值 : 无
* 参 数 : 参数 1 一个 TCP 连接 参数 2 个数
* 功 能 : 丢弃参数 2 字节 TCP 数据 , 用于存储更多的数据
*/
void nids_discard (struct tcp_stream *, int);
/*
* 返回值 : 无
* 参 数 : 无
* 功 能 : 运行 Libnids, 进入循环捕获数据包状态. 它实际上是调用 Libpcap 函数 pcap_loop()来循环捕获数据包
*/
void nids_run (void);
/*
* 返回值 : 调用成功返回文件描述符 ,失败返回 -1
* 参 数 : 无
* 功 能 : 获得文件描述符号
*/
int nids_getfd (void);
/*
* 返回值 : 调用成功返回个数 ,失败返回负数
* 参 数 : 表示捕获数据包的个数
* 功 能 : 调用 Libpcap 中的捕获数据包函数pcap_dispatch()
*/
int nids_dispatch (int);
/*
* 返回值 : 调用成功返回 1,失败返回 0
* 参 数 : 无
* 功 能 : 调用 Libpcap 中的捕获数据包函数pcap_next()
*/
int nids_next (void);
extern struct nids_prm nids_params; /*libnids.c定以了一个全部变量 , 其定义和初始值在 nids_params*/
extern char *nids_warnings[];
extern char nids_errbuf[];
extern struct pcap_pkthdr *nids_last_pcap_header;
struct nids_chksum_ctl { /* 描述的是计算校验和 , 用于决定是否计算校验和*/
u_int netaddr; /* 表示地址 */
u_int mask; /* 表示掩码 */
u_int action; /* 表示动作 , 如果是NIDS_DO_CHKSUM, 表示计算校验和; 如果是 NIDS_DONT_CHKSUM, 表示不计算校验和 */
u_int reserved; /* 保留未用 */
};
/*
* 返回值 : 无
* 参 数 : 参数 1 表示 nids_chksum_ctl 列表 参数 2 表示列表中的个数
* 功 能 : 决定是否计算校验和 . 它是根据数据结构nids_chksum_ctl 中的action 进行决定的 , 如果所要计算的对象不在列表中 , 则必须都要计算校验和
*/
extern void nids_register_chksum_ctl(struct nids_chksum_ctl *, int);
#endif /* _NIDS_NIDS_H */