Libnids是一个用于网络入侵检测开发的专业编程接口,它使用了Libpcap所以它具有捕获数据包的功能。同时，Libnids提供了TCP数据流重组功能，所以对于分析基于TCP协议的各种协议Libnids都能胜任.Libnids还提供了对IP分片进行重组的功能，以及端口扫描检测和异常数据包检测功能。
Libnids数据结构

一.基本常量

1.报警类型

}

enum

{

}

2.Libnids状态

在对TCP数据流进行重组时，必须考虑到TCP的连接状态，在Libnids中为了方便开发而定义了6种Libnids状态(描述的是连接的逻辑状态)

#define NIDS_JUST_EST 1//表示tcp连接建立

#define NIDS_DATA 2  //表示接受数据的状态

#define NIDS_CLOSE 3 //表示tcp连接正常关闭

#define NIDS_RESET 4 //表示tcp连接被重置关闭

#define NIDS_TIMED_OUT 5 //表示由于超时tcp连接被关闭

#define NIDS_EXITING 6  //表示libnids正在退出

真正的TCP连接状态有11种

enum

{

}

3.校验和，与此相关的常量定义如下：

#define NIDS_DO_CHKSUM 0  //表示告诉Libnids要计算校验和

#define NIDS_DONT_CHKSUM 1//表示告诉LIbnids不需要计算校验和

二。数据结构

1.tuple4：此数据结构是Libnids中最基本的一种数据结构

struct tuple4

{

};//用于描述一个地址端口对，它表示发送方IP和端口以及接收方IP和端口

2.half_stream：此数据结构用来描述在tcp连接中一端的所有信息，可以使客户端也可以是服务端。

struct half_stream

{

}

3.tcp_stream:描述的是一个TCP连接的所有信息

struct tcp_stream

{

};//描述了一个TCP连接的完整信息

4.nids_prm:描述libnids的一些全局参数信息

struct nids_prm

{

};

在Libnids中用nids_prm数据结构定义了一个全局变量nids_params,其定义和初始值如下:

struct nids_prm nids_params={

}在使用Libnids开发程序时,可以首先对nids_params全局变量的值进行修改,这样对整个Libnids就全部有效

5.nids_chksum_ctl:描述的是计算校验和

struct nids_chksum_ctl

{

}

三.Libnids函数

1.基本函数

2.IP碎片函数

3.TCP数据流重组函数

4.UDP注册函数

利用Libnids开发的流程

用函数nids_init()进行初始化。

然后注册相应的回调函数。不同的回调函数实现不同的功能

最后利用函数nids_run()进入循环捕获数据包的状态。