ndpi源码分析一--几个重要的结构体

最新推荐文章于 2024-08-25 21:31:29 发布
最新推荐文章于 2024-08-25 21:31:29 发布
阅读量4.9k 收藏 7
点赞数 1
文章标签: ndpi 源码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchonge/article/details/49765093
版权
本文探讨了ndpi源码中的核心结构体,包括ndpi_iphdr, ndpi_tcphdr, ndpi_udphdr, ndpi_ethdr等数据包头信息结构,以及ndpi_detection_module_struct、ndpi_packet_struct和ndpi_flow_struct。这些结构体在ndpi检测模块的初始化和数据包处理中扮演重要角色。后续文章将进一步分析ndpi的检测流程。" 97941783,2177861,JSON日志换行处理:Logstash的gsub解决 问题,"['elk', 'logstash', 'gsub']
摘要由CSDN通过智能技术生成

最近研究了ndpi的源代码,过程中看到关于这方面的资料很少,所以就想把自己的收获写下来分享一下,也让之后的同学有所参考。首先简单介绍一下ndpi源码中几个比较重要的结构体,这些结构体的定义一般都在ndpi_typedefs.h头文件中,有兴趣的同学可以参考。
1,ndpi_iphdr, ndpi_tcphdr,ndpi_udphdr, ndpi_ethdr(这几个是在 linux_compat.h头文件中)
这几个结构题比较简单,主要用于存储各层的数据包头信息。如果学过计算机网络都应该知道网络数据在传输时经过每一层都会加上相应的信息,比如IP包头一般有20个字节固定长度,下面是ndpi_iphdr结构体的定义,可以看出来是跟IP数据包格式一一对应的,在此不做过多解释。ndpi_ethdr是对应数据链路层。

struct ndpi_iphdr {
#if defined(__LITTLE_ENDIAN__) 
  u_int8_t ihl:4, version:4;
#elif defined(__BIG_ENDIAN__)
  u_int8_t version:4, ihl:4;
#else
# error "Byte order must be defined"
#endif
  u_int8_t tos;//区分服务
  u_int16_t tot_len;//总长度
  u_int16_t id;//标志
  u_int16_t frag_off;//片偏移
  u_int8_t ttl;//跳数
  u_int8_t protocol;//协议
  u_int16_t check;//
  u_int32_t saddr;//源IP
  u_int32_t daddr;//目的IP
};

2,ndpi_detection_module_struct
这个结构体比较重要,主要用于存储一些全局变量ÿ

最低0.47元/天 解锁文章
liuchongee
关注
初步了解DPI技术以及开源工具nDPI------上
DeepGetNet的博客
05-06 2500
DPI(深度报文检测技术) 深度报文检测通常应用于流量监测与业务统计过程,是流量分析领域的重要工具。深度报文检测的英文全称为Deep Packet Inspection,该方法用于深入到数据报文的应用层部分,通过匹配特定字段或规则分析其具体协议或者类别,具体分析的结果通常根据需求产生。深度报文检测技术在数据报文加密出现之前,是用于流量分析重要的手段。当然即使加密技术被广泛应用于网络服务中,深度报文检测技术也可配合其他流量分析技术进行加密流量识别和分类,例如传统机器学习算法、深度学习模型等。 nDPI
opendpi nDPI-1.8.tar.gz
07-05
方便大家下载,请自觉遵守GPL协议。
协议的注册与维护——ndpi源码分析
suyouli的博客
05-12 1083
在前面的文章中,我们对ndpi中的example做了源码分析。这一次我们将尽可能深入的了解ndpi内部的结构和运作。我们将带着下面三个目的(问题)去阅读ndpi的源代码。 1、ndpi内部是怎么样注册和维护需要检测的协议呢? 2、ndpi在初始化的过程中,做了怎么样的工作? 3、ndpi在底层的实现中具体又是使用怎样的数据结构? 注:这里限于篇幅,本文章指针对使用中的初
nDPI -- 开源深度包检测库
最新发布
qq_37921827的博客
08-25 70
传统的流量分析仅限于数据包头部,通过传输协议和应用程序端口识别应用程序协议。许多应用程序协议在开发时会遵循某些标准端口的分配。例如,SMTP使用TCP协议和端口25,Telnet使用TCP协议和端口23。这些协议和端口的关联在Unix系统下的/etc/protocols文件中明确指定。在RPC出现之前,许多网络服务使用静态端口分配,即每个服务都有一个固定的端口号。随着服务数量的增加,固定的端口号可能会被耗尽。且静态端口分配缺乏灵活性,难以适应动态变化的网络环境。
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2444
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
【NDPI源码解析之深度包检测分析(一)
A_lber_t的博客
04-28 5555
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度包检测流程: 二、重要结构体源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
ndpi-odl:nDPI-OpenDaylight
05-30
【标题】"ndpi-odl:nDPI-OpenDaylight" 涉及到的主要技术是nDPI(Next Generation Deep Packet Inspection)与OpenDaylight,两者在网络安全和网络管理领域有着重要的应用。 【nDPI技术详解】 nDPI是由OpenDNS公司...
nDPI-2.8-stable.zip
11-18
nDPI是一个基于OpenDPIDPI库,目前由ntop维护。 为了给您提供一个跨平台的DPI体验,我们除了支持Unix/Linux外,同时也支持Windows。不仅如此,我们已经通过修改nDPI,使得它更加适合于流量监控应用,我们通过...
nDPI-lua:用于深度数据包检查的nDPI Lua绑定
05-13
nDPI-lua 基于ndpireader和nDPI的概念验证lua绑定 该库旨在用于Lua程序。 main.lua文件读取一个pcap文件并检查每个数据包。 对于每个成功关联的数据包,将触发操作。 这些动作定义为Lua函数,并遵循以下模板: ...
nDPI:开源深度数据包检测软件工具包
03-09
nDPI 什么是nDPI? nDPI:registered:是用于深度数据包检查的开源LGPLv3库。 基于OpenDPI,它包含ntop扩展。 我们试图将它们推送到OpenDPI代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树 如何编译nDPI 为了编译这个库 ./autogen.sh 。/配置 制作 要运行测试,请另外执行以下操作: cd测试; ./do.sh 请注意,编译的先决条件包括: GNU工具(autogen,automake,autoconf,libtool) GNU C编译器(gcc) 在Debian / Ubuntu系统上,请执行以下操作: 须藤apt-get install build-essential git bison flex libpcap-dev libtool libtool-bin autoconf pkg-config automake
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
nDPI源码的一点分析
noted2011的专栏
10-11 2780
ndpi是开源的深度包检测库。
FTP深度包检测——ndpi源码分析
GrubLinux的专栏
08-05 8360
一、简介 二、分析hans
nDPI——Open and Extensible GPLv3 Deep Packet Inspection Library.
woods2001的专栏
11-02 3947
nDPI is a ntop-maintained superset of the popular OpenDPI library. Released under the GPL license, its goal is to extend the original library by adding new protocols that are otherwise available onl
nDPI – 快速入门指南
weixin_42724706的博客
12-05 2120
nDpi学习专栏---官方说明
nDPI安装与入门笔记
qq_40379977的博客
02-17 1064
nDPI的安装与ndpiReader的初步使用
ntopng、nprobe和ndpi基础
qq_36767911的博客
12-01 1291
ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。
ndpi-splitter
11-11
ndpi-splitter是一个网络应用程序,用于拆分ndpi(开放式深度数据包检测库)生成的PCAP文件。ndpi是一种用于流量识别的开放式库,可以用来检测互联网流量中的各种应用程序和网络协议。 ndpi-splitter旨在帮助用户处理ndpi生成的较大的PCAP文件。在网络流量分析和应用识别等领域,使用ndpi进行数据分析非常有用。然而,由于生成的PCAP文件通常很大,在进行分析时可能导致资源消耗过多。 ndpi-splitter的作用就是将较大的PCAP文件拆分成较小的片段。这样,用户可以更容易地处理和分析这些文件片段,减少分析工作的负担。通过拆分PCAP文件,用户可以对单个文件进行更详细和深入的分析,提供更准确和详尽的结果。 ndpi-splitter具有简单易用的特点,用户只需将需要拆分的PCAP文件传递给程序,ndpi-splitter会自动将其拆分成指定大小的文件片段。用户还可以根据自己的需求设置拆分大小和输出文件的命名规则。拆分后的文件片段可以更方便地导入到其他分析工具中进行进一步分析,提高分析效率和精度。 总之,ndpi-splitter是一个实用的工具,可帮助用户处理和分析ndpi生成的大型PCAP文件。它提供了简单易用的功能,可以将文件拆分成更小的片段,使用户能够更轻松地进行网络流量分析和应用识别工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值