【作者主页】只道当时是寻常

【专栏介绍】Suricata入侵检测。专注网络、主机安全，欢迎关注与评论。

1. 概要

👋 本文聚焦开源网络入侵检测系统 Suricata 的核心模块 FlowManager，深入解读其源码，解析流量管理实现机制。FlowManager 承担流的超时检查、资源回收、紧急模式处理等关键功能。文章从内存压力值计算、动态调整休眠间隔、流状态切换逻辑入手，结合代码实例，说明其如何动态调节扫描行数与休眠时间，平衡负载与检测效率。

2. 源码解析

2.1 模块注册（Register）

在 Suricata 初始化阶段会将 FlowManager 模块注册到全局模块列表中 tmm_modules，后续由专门的线程负责执行该模块的主函数。

Flow Manager模块详细信息如下代码所示：

void TmModuleFlowManagerRegister (void)
{tmm_modules[TMM_FLOWMANAGER].name = "FlowManager";tmm_modules[TMM_FLOWMANAGER].ThreadInit = FlowManagerThreadInit;tmm_modules[TMM_FLOWMANAGER].ThreadDeinit = FlowManagerThreadDeinit;tmm_modules[TMM_FLOWMANAGER].Management = FlowManager;tmm_modules[TMM_FLOWMANAGER].cap_flags = 0;tmm_modules[TMM_FLOWMANAGER].flags = TM_FLAG_MANAGEMENT_TM;SCLogDebug("%s registered", tmm_modules[TMM_FLOWMANAGER].name);SC_ATOMIC_INIT(flowmgr_cnt);SC_ATOMIC_INITPTR(flow_timeouts);
}

2.2 初始化（Init）

在 Suricata 中 FlowManagerThreadInit 函数实现 FlowManager 线程的初始化操作。下面我将基于 FlowManagerThreadInit 函数源码分段介绍初始化具体流程。

（1）创建 FlowManager 线程数据对象，用于保存当前线程的初始化数据。

FlowManagerThreadData *ftd = SCCalloc(1, sizeof(FlowManagerThreadData));
if (ftd == NULL)return TM_ECODE_FAILED;

（2）配置当前线程实例序号值。每个新增一个 FlowManager 线程示例序号值加一。

ftd->instance = SC_ATOMIC_ADD(flowmgr_cnt, 1);
SCLogDebug("flow manager instance %u", ftd->instance);

（3）在 Suricata 的配置文件中，可通过 flow.managers 来设置创建 FlowManager 线程的数量，flow.hash-size 设置了哈希表的大小。因此，这里需要计算每个 FlowManager 线程负责维护哈希表的范围。如果是最后一个线程示例则其右侧区间为哈希表的结尾。

 /* set the min and max value used for hash row walking* each thread has it's own section of the flow hash */
uint32_t range = flow_config.hash_size / flowmgr_number;ftd->min = ftd->instance * range;
ftd->max = (ftd->instance + 1) * range;/* last flow-manager takes on hash_size % flowmgr_number extra rows */
if ((ftd->instance + 1) == flowmgr_number) {ftd->max = flow_config.hash_size;
}
BUG_ON(ftd->min > flow_config.hash_size || ftd->max > flow_config.hash_size);SCLogDebug("instance %u hash range %u %u", ftd->instance, ftd->min, ftd->max);

（4）初始化 FlowManager 模块的计数器。

FlowCountersInit(t, &ftd->cnt);

（5）初始化报文池，即每个处理线程支持同时处理的最大报文数量（max_pending_packets）。很奇怪，为什么这个函数在这里调用，该函数貌似和 FlowManager 没有什么联系。

PacketPoolInit();

2.3 流管理（FlowManager）

Suricata 的 FlowManager 函数是流管理模块的核心函数，主要用于检查流超时并回收资源。

FlowManager 函数中最核心的是其资源处理算法的实现，如果要理解这个算法需要先了解以下几个实现。

2.3.1 内存压力值

MemcapsGetPressure 函数用户获取当前内存压力值，该函数主要关注最容易成为内存压力瓶颈的四个引擎，分别是stream、stream-reassembly、flow 和 applayer-proto-http，并取其压力最大值。

如何计算每个引擎的压力值呢？

下面代码是 MemcapsGetPressure 函数的实现：

float MemcapsGetPressure(void)
{float percent = 0.0;for (int i = 0; i < 4; i++) { // only flow, streams, httpuint64_t memcap = memcaps[i].GetFunc();if (memcap) {uint64_t memuse = memcaps[i].GetMemuseFunc();float p = (float)((double)memuse / (double)memcap);// SCLogNotice("%s: memuse %"PRIu64", memcap %"PRIu64" => %f%%",//    memcaps[i].name, memuse, memcap, (p * 100));percent = MAX(p, percent);}}return percent;
}

可以看到，内存压力值算法是当前已用内存量除以申请的内存量。压力值为 0.0 表示未使用已申请的内存，1.0 表示内存使用达到上限。

2.3.2 动态调整休眠间隔

GetWorkUnitSizing 函数会根据系统内存压力值，即 MemcapsGetPressure 函数计算结果动态计算每次处理的哈希表行数和休眠间隔。下面通过拆解 GetWorkUnitSizing 函数实现来理解其算法原理：

（1）如果当前处于紧急状态（emergency），则需要流管理线程全速处理。要求线程实例处理哈希表所有行（即该线程实例负责的哈希表所有行），线程休眠间隔固定为250ms。

if (emergency) {*wu_rows = rows;*wu_sleep = 250;return;
}

（2）将内存压力值从百分比转成0~100的整数。要求压力值最小为10。

/* minimum busy score is 10 */
const uint32_t emp = MAX(mp, 10);

（3）计算每秒处理的哈希表行数，取决于内存压力值百分比。

const uint32_t rows_per_sec = (uint32_t)((float)rows * (float)((float)emp / (float)100));

（4）假设每行需要消耗的时间为1微秒，那么每秒处理的哈希行数需要消耗多长时间（最大为1s）。

 /* calc how much time we estimate the work will take, in ms. We assume* each row takes an average of 1usec. Maxing out at 1sec. */
const uint32_t work_per_unit = MIN(rows_per_sec / 1000, 1000);

（5）计算处理完指定的哈希行数后，剩余的时间即为休眠间隔时间，最小为250ms。

/* calc how much time we need to sleep to get to the per second cadence* but sleeping for at least 250ms. */
const uint32_t sleep_per_unit = MAX(250, 1000 - work_per_unit);
SCLogDebug("mp %u emp %u rows %u rows_sec %u sleep %ums", mp, emp, rows, rows_per_sec,sleep_per_unit);

2.3.3 源码解析

在了解2.3.1 和 2.3.2 两个算法实现的基础上，我们再来通过拆解 FlowManager 函数实现来了解流管理模块的实现流程。

（1）获取当前内存压力值。

uint32_t mp = MemcapsGetPressure() * 100;

（2）获取当前线程休眠时间。

GetWorkUnitSizing(rows, mp, false, &sleep_per_wu, &rows_per_wu, &rows_sec);

（3）判断当前线程是否被暂停，如果被暂停则会等待，直到取消暂停。

if (TmThreadsCheckFlag(th_v, THV_PAUSE)) {TmThreadsSetFlag(th_v, THV_PAUSED);TmThreadTestThreadUnPaused(th_v);TmThreadsUnsetFlag(th_v, THV_PAUSED);
}

（4）检查紧急模式状态。

bool emerg = ((SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY) != 0);

（5）获取当前时间戳。

 /* Get the time */
ts = TimeGet();
SCLogDebug("ts %" PRIdMAX "", (intmax_t)SCTIME_SECS(ts));
uint64_t ts_ms = SCTIME_MSECS(ts);

（6）设置流进入紧急模式。其中 prev_emerg 表示上一个流是否处于紧急模式，若否，则说明当前流进入新的紧急模式阶段。

const bool emerge_p = (emerg && !prev_emerg);
if (emerge_p) {next_run_ms = 0;prev_emerg = true;SCLogNotice("Flow emergency mode entered...");StatsIncr(th_v, ftd->cnt.flow_emerg_mode_enter);
}

（7）执行流超时检查，next_run_ms = ts_ms + sleep_per_wu; 即期望下一次执行流检查时的时间戳。

if (ts_ms >= next_run_ms) {... ...
}

（8）若处于紧急模式，需处理该线程实例负责的哈希表中所有行的超时；否则仅处理部分行。FlowTimeoutHash 和 FlowTimeoutHashInChunks 函数用于检查哈希表中指定行数的超时流，若发现超时流，则将其从哈希表移除并添加到 d->aside_queue 队列。

if (emerg) {/* in emergency mode, do a full pass of the hash table */FlowTimeoutHash(&ftd->timeout, ts, ftd->min, ftd->max, &counters);StatsIncr(th_v, ftd->cnt.flow_mgr_full_pass);
} else {SCLogDebug("hash %u:%u slice starting at %u with %u rows", ftd->min, ftd->max, pos,rows_per_wu);const uint32_t ppos = pos;FlowTimeoutHashInChunks(&ftd->timeout, ts, ftd->min, ftd->max, &counters, rows_per_wu, &pos);if (ppos > pos) {StatsIncr(th_v, ftd->cnt.flow_mgr_full_pass);}
}

（9）计算当前空闲流的百分比，当空闲流百分比超过恢复阈值，则紧急模式计数器加一直到连续30次超过恢复阈值，退出紧急模式。

const uint32_t spare_pool_len = FlowSpareGetPoolSize();
StatsSetUI64(th_v, ftd->cnt.flow_mgr_spare, (uint64_t)spare_pool_len);FlowCountersUpdate(th_v, ftd, &counters);if (emerg == true) {SCLogDebug("flow_sparse_q.len = %" PRIu32 " prealloc: %" PRIu32"flow_spare_q status: %" PRIu32 "%% flows at the queue",spare_pool_len, flow_config.prealloc,spare_pool_len * 100 / MAX(flow_config.prealloc, 1));/* only if we have pruned this "emergency_recovery" percentage* of flows, we will unset the emergency bit */if ((spare_pool_len * 100 / MAX(flow_config.prealloc, 1)) >flow_config.emergency_recovery) {emerg_over_cnt++;} else {emerg_over_cnt = 0;}if (emerg_over_cnt >= 30) {SC_ATOMIC_AND(flow_flags, ~FLOW_EMERGENCY);FlowTimeoutsReset();emerg = false;prev_emerg = false;emerg_over_cnt = 0;SCLogNotice("Flow emergency mode over, back to normal... unsetting"" FLOW_EMERGENCY bit (ts.tv_sec: %" PRIuMAX ", ""ts.tv_usec:%" PRIuMAX ") flow_spare_q status(): %" PRIu32"%% flows at the queue",(uintmax_t)SCTIME_SECS(ts), (uintmax_t)SCTIME_USECS(ts),spare_pool_len * 100 / MAX(flow_config.prealloc, 1));StatsIncr(th_v, ftd->cnt.flow_emerg_mode_over);}
}/* update work units */
const uint32_t pmp = mp;
mp = MemcapsGetPressure() * 100;
if (ftd->instance == 0) {StatsSetUI64(th_v, ftd->cnt.memcap_pressure, mp);StatsSetUI64(th_v, ftd->cnt.memcap_pressure_max, mp);
}
GetWorkUnitSizing(rows, mp, emerg, &sleep_per_wu, &rows_per_wu, &rows_sec);
if (pmp != mp) {StatsSetUI64(th_v, ftd->cnt.flow_mgr_rows_sec, rows_sec);
}next_run_ms = ts_ms + sleep_per_wu;

（10）定期执行其它模块超时检查的逻辑，只有第一个流量管理实例(instance 0)执行这些操作，避免多线程重复处理。

if (other_last_sec == 0 || other_last_sec < (uint32_t)SCTIME_SECS(ts)) {if (ftd->instance == 0) {DefragTimeoutHash(ts);HostTimeoutHash(ts);IPPairTimeoutHash(ts);HttpRangeContainersTimeoutHash(ts);other_last_sec = (uint32_t)SCTIME_SECS(ts);}
}

（11）如果处于紧急模式，现成休眠250ms，如果未处于紧急模式，计算休眠时间，通过带超时的条件变量对线程进行休眠操作。

if (emerg || !time_is_live) {usleep(250);
} else {struct timeval cond_tv;gettimeofday(&cond_tv, NULL);struct timeval add_tv;add_tv.tv_sec = 0;add_tv.tv_usec = (sleep_per_wu * 1000);timeradd(&cond_tv, &add_tv, &cond_tv);struct timespec cond_time = FROM_TIMEVAL(cond_tv);SCCtrlMutexLock(&flow_manager_ctrl_mutex);while (1) {int rc = SCCtrlCondTimedwait(&flow_manager_ctrl_cond, &flow_manager_ctrl_mutex, &cond_time);if (rc == ETIMEDOUT || rc < 0)break;if (SC_ATOMIC_GET(flow_flags) & FLOW_EMERGENCY) {break;}}SCCtrlMutexUnlock(&flow_manager_ctrl_mutex);
}