symbol lookup error: /usr/bin/suricata: undefined symbol: htp_config_set_query_case_insensitive 解决方法

今天在成功编译suricata后运行suricata的时候,报如下错误:

/usr/bin/suricata: symbol lookup error: /usr/bin/suricata: undefined symbol: htp_config_set_query_case_insensitive

观察报错的symbol为htp_config_set_query_case_insensitive,应该能联想到是libhtp库的问题。于是使用命令ldd查看suricata的所使用的共享库:

root@weizheng:/suricata/libhtp/htp/.libs# ldd /usr/bin/suricata
/usr/bin/ldd: line 161: /lib/ld-linux.so.2: cannot execute binary file
	linux-vdso.so.1 =>  (0x00007fffefdb9000)
	libhtp-0.2.so.1 => /var/suricata/libhtp-0.2.so.1 (0x00007fb87bbc1000)
	libmagic.so.1 => /usr/lib/libmagic.so.1 (0x00007fb87b9a3000)
	libcap-ng.so.0 => /usr/lib/libcap-ng.so.0 (0x00007fb87b79d000)
	libpcap.so.0.8 => /usr/lib/libpcap.so.0.8 (0x00007fb87b567000)
	libnetfilter_queue.so.1 => /var/suricata/libnetfilter_queue.so.1 (0x00007fb87b364000)
	libnfnetlink.so.0 => /var/suricata/libnfnetlink.so.0 (0x00007fb87b15d000)
	libpthread.so.0 => /lib/libpthread.so.0 (0x00007fb87af41000)
	libyaml-0.so.2 => /usr/lib/libyaml-0.so.2 (0x00007fb87ad22000)
	libpcre.so.3 => /lib/libpcre.so.3 (0x00007fb87aaf1000)
	libdl.so.2 => /lib/libdl.so.2 (0x00007fb87a8ed000)
	libc.so.6 => /lib/libc.so.6 (0x00007fb87a58b000)
	libz.so.1 => /usr/lib/libz.so.1 (0x00007fb87a373000)
	/lib64/ld-linux-x86-64.so.2 (0x00007fb87bddc000)

发现使用的libhtp-0.2.so.1共享库是/var/suricata/目录下的libhtp-0.2.so.1,由于/var/suricata/下libhtp-0.2.so.1是个链接:

root@weizheng:/var/suricata# ls -l | grep htp
lrwxrwxrwx 1 root root      19 Jun  7 11:05 libhtp-0.2.so.1 -> libhtp-0.2.so.1.0.2
-r-xr-xr-- 1 root root  261612 Jun  9 14:07 libhtp-0.2.so.1.0.2
lrwxrwxrwx 1 root root      19 Jun  7 11:05 libhtp.so -> libhtp-0.2.so.1.0.2
真正的链接库是libhtp-0.2.so.1.0.2,所以我们只需要将suricata/libhtp/htp/.libs/目录下的libhtp-0.2.so.1.0.2拷贝到/var/suricata/下替换原有的libhtp-0.2.so.1.0.2即可。由于/var/suricata/目录下的libhtp-0.2.so.1是链接到当前目录下的libhtp-0.2.so.1.0.2,所以不需要替换libhtp-0.2.so.1链接。


下面介绍一下ldd命令的用法(转自:here):

1、首先ldd不是一个可执行程序,而只是一个shell脚本

2、ldd能够显示可执行模块的dependency,其原理是通过设置一系列的环境变量,如下:LD_TRACE_LOADED_OBJECTS、LD_WARN、LD_BIND_NOW、LD_LIBRARY_VERSION、 LD_VERBOSE等。当LD_TRACE_LOADED_OBJECTS环境变量不为空时,任何可执行程序在运行时,它都会只显示模块的 dependency,而程序并不真正执行。要不你可以在shell终端测试一下,如下:

(1) export LD_TRACE_LOADED_OBJECTS=1

(2) 再执行任何的程序,如ls等,看看程序的运行结果

3、ldd显示可执行模块的dependency的工作原理,其实质是通过ld-linux.so(elf动态库的装载器)来实现的。我们知道,ld-linux.so模块会先于executable模块程序工作,并获得控制权,因此当上述的那些环境变量被设置时,ld-linux.so选择了显示可执行模块的dependency。

4、实际上可以直接执行ld-linux.so模块,如:/lib/ld-linux.so.2 --list program(这相当于ldd program)

ldd命令使用方法(摘自ldd --help)

名称 ldd - 打印共享库的依赖关系

大纲 ldd [选项]... 文件...

描述 ldd 输出在命令行上指定的每个程序或共享库需要的共享库。

选项

--version

打印ldd的版本号

-v --verbose

打印所有信息,例如包括符号的版本信息

-d --data-relocs

执行符号重部署,并报告缺少的目标对象(只对ELF格式适用)

-r --function-relocs

对目标对象和函数执行重新部署,并报告缺少的目标对象和函数(只对ELF格式适用)

--help 用法信息

注意:

ldd的标准版本与glibc2一起提供。Libc5与老版本以前提供,在一些系统中还存在。在libc5版本中长选项不支持。另一方面,glibc2版本不支持-V选项,只提供等价的--version选项。

如果命令行中给定的库名字包含'/',这个程序的libc5版本将使用它作为库名字;否则它将在标准位置搜索库。运行一个当前目录下的共享库,加前缀"./"。

错误:

ldd不能工作在a.out格式的共享库上。

ldd不能工作在一些非常老的a.out程序上,这些程序在支持ldd的编译器发行前已经创建。如果你在这种类型的程序上使用ldd,程序将尝试argc = 0的运行方式,其结果不可预知。


转载请注明出处!



你可能感兴趣的:(symbol lookup error: /usr/bin/suricata: undefined symbol: htp_config_set_query_case_insensitive 解决方法)