DPI(Deep packet inspection,深度报文解析)

最新推荐文章于 2024-06-16 20:15:50 发布
最新推荐文章于 2024-06-16 20:15:50 发布
阅读量7.7k 收藏 23
点赞数 2
分类专栏: C++ 网络抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BlueBirdssh/article/details/98180766
版权

DPI(Deep packet inspection,深度报文解析)

 

正好,有这么一个基于opendpi框架的深度报文分析的工具——ndpi

 

ndpi是在opendpi的基础上编写而来的协议分析工具。源代码编译后生成两个部分,一个是内核层的xt_ndpi.ko模块,用来实时分析流量,另一个是应用层的lib库,给ndpiReader这个工具提供库,用来分析抓包工具提供的文件或者底层网卡提供的数据包。

 

https://www.ntop.org/products/deep-packet-inspection/ndpi/

 

 

http://jaseywang.me/2011/11/14/opendpi/

OpenDPI 早就停止维护更新了,ntop 下面的 nDPI 作为 OpenDPI 的超集,提供了更强大的功能,这里是他的 quick start

 

OpenDPI 通过深度包检测来进行流量分类,由原先的 IPP2P 发展而来。可以检测常用的协议(实践下来有很多的协议书属于 unknow )。具体的效果如下图。

 

 

下载下面两个包,前者是 OpenDPI,后者是 iptables 的一个模块。如果需要对内网的访问做出限制,是需要安装后者的。

https://opendpi.googlecode.com/files/opendpi-1.3.0.tar.gz
https://opendpi.googlecode.com/files/opendpi-netfilter-wrapper-1.2.tar.gz

http://jaseywang.me/2015/01/22/pf_ring-%e5%af%b9%e7%bd%91%e7%bb%9c%e6%8a%93%e5%8c%85%e6%80%a7%e8%83%bd%e7%9a%84%e6%8f%90%e5%8d%87%e4%b8%8d%e4%bb%85%e4%bb%85%e6%98%af-30-40/

 

PF_RING 对网络抓包性能的提升不仅仅是 30% – 40%

 

高速数据包处理框架 PF_RING

 

https://www.ntop.org/products/packet-capture/pf_ring/

 

 

pcapReader——源码分析

https://blog.csdn.net/suyouli/article/details/71703214

 

 

通过pcaplibndpi相结合

 

 

DPI深度报文检测架构及关键技术实现

 

https://blog.csdn.net/weixin_30847939/article/details/97206074

 

 

今天起持续半年记录DPI产品的研发过程,欢迎大家一起讨论

 

https://blog.csdn.net/boyteam/article/details/52230476

产品主要借鉴开源snort,目前本人已经大概全部看完,被其插件的设计思想深深打动。

 

 

Snort中的模式匹配!!!

 

https://blog.csdn.net/an_zhenwei/article/details/11611067

 

 

搭建开源入侵检测系统Snort,并实现与防火墙联动

 

https://www.freebuf.com/articles/system/37507.html

 

Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、Apache、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。

 

BT5作为曾经的一款经典的渗透神器,

  嗯,这个是snort 2.8.5.2 ,它是BT5自带的snort,但是在BT5里面无法正常使用,然后我在此基础上研究了一下。非常感谢您的指正!;)

 

NIDS, not HIDS

 

这个可以用开源的ossim

 

呵呵,HIDS还需要对主机自身的进程、文件、通讯等监控的//: Snort是开源的网络入侵检测系统而非主机入侵检测系统,是NIDS而非HIDS,不是能装在Linux或Windows这样的通用操作系统上就是主机入侵检测系统了。

 

如果是为了展示,可以使用guardian。但和iptables联动就没有这个必要,snort可以IDS模式,也可以是IPS模式。IPS模式开启nfq/ipq/ipfw就可以根据rules实时干掉packets了。

 

https://github.com/ntop

 

今天起持续半年记录DPI产品的研发过程,欢迎大家一起讨论

https://blog.csdn.net/boyteam/article/details/52230476

 

 

 

https://blog.csdn.net/Li_Jiaqian/article/details/83154573
【包】PF_RING

 

 

 DPI(Deep Packet Inspection)是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。

 

 

BlueBirdssh
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nDPI:开源的深度包检测项目
bvjkc的专栏
01-03 843
DPI DPIDeep Packet Inspection的缩写,全称深度包检测,是对数据包负载进行实时分析的一类技术的总称,它的其中一种应用是对流量进行分类。 在互联网发展的早期,每一种协议或者应用都和一个端口关联。比如当我们说80端口时,我们指的就是HTTP协议。但是,端口和协议的关联并不是强制性的,而只是大家约定的共识。后来,许多新出现的协议都没有再和一个固定的端口关联,有的协议为了绕过防火墙的管控,会直接使用HTTP协议来传输。对于网络的监控和管理来说,识别当前流量中有哪些应用和协议,从而采取进一
wireshark TCP状态转换+HTTP抓包分析+提取木马SNORT规则
ajcaizixi的专栏
06-20 4866
这里把TCP三次握手四次挥手+HTTP抓包分析放在一起分析。 说是HTTP,其实并不打算真的就协议层面去分析HTTP。因为那又是一个可以另外水一篇博客的例子了。 Tcp状态图+HTTP抓包分析 在TCP层,有个FLAGS字段,这个字段有以下几个标识:SYN, FIN, ACK, PSH, RST, URG. 其中, SYN表示建立连接,  FIN表示关
DPI — nDPI 开源的深度报文解析组件
深入浅出讲透复杂深奥的问题
08-21 1770
nDPI 官方网站: https://github.com/ntop/nDPI https://www.ntop.org/support/documentation/documentation/ https://www.ntop.org/products/deep-packet-inspection/ndpi/ https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开
DPI深度报文检测(比如IPS)
最新发布
时空
06-16 445
检测模块的检测也不是完全只匹配关键字,一般先做报文的协议解析识别,看看是属于什么协议的报文,然后再去匹配下特征库的关键字以及相关策略等等。现在网络安全威胁五花八门,基本的三层、四层安全策略已经完全不够用了,DPI深度报文检测是一种基于报文应用层信息对流量进行识别控制的安全机制,对应的有一堆安全设备,稍等盘点下这些机制和应用。也很多,比如源地址阻断(加黑名单)、报文捕获、日志上报、重定向发送,不同动作的关系及优先级不同,有的为与的关系,有的为或的关系,需要提前了解对应厂商规则。最好选择具有良好集成性的产品。
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2349
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
什么是深度数据包检测 (DPI
ITmoster的博客
05-30 2096
深度数据包检测在组织的网络安全和流量方面提供了许多好处,NetFlow Analyzer 提供深度数据包检测引擎,可监控和测量应用程序响应时间和网络响应时间,以确定网络流量问题和异常的根源。
Deep Packet Inspection using Parallel Bloom Filters
03-26
Deep Packet Inspection using Parallel Bloom Filters Deep Packet Inspection using Parallel Bloom Filters
Deep Packet Inspection: The end of the internet as we know it?
01-01
Deep Packet Inspection: The end of the internet as we know it?
WP-Deep-Packet-Inspection-v1.0.zip_inspection
09-14
标题中的"WP-Deep-Packet-Inspection-v1.0.zip_inspection"表明这是一个关于深包检测技术(Deep Packet Inspection, DPI)的文档集,版本为1.0,可能是一个研究报告或者教程资料。"zip_inspection"暗示了该压缩包...
Advanced Algorithms for Fast and Scalable Deep Packet Inspection
11-06
在传统的DPI算法基础上, 提出了基于DFA的DPI算法, 值得借鉴.
Hyperscan与Snort的集成方案
weixin_37097605的博客
04-09 507
点击蓝字关注DPDK开源社区↑↑↑概况 Hyperscan作为一款高性能的正则表达式匹配库,非常适用于部署在诸如DPI/IPS/IDS/NGFW等网络解决方案...
基于DPI深度报文解析)的应用识别
热门推荐
HelloWorld
09-30 2万+
一、概述 1.DPIDeep packet inspection深度报文解析) 所谓“深度”是和普通的报文分析层次相比较而言的,“普通报文检测”仅分析IP包4 层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型,而DPI 除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容,主要实现一下功能: 应用分析——网络流量构成分析、性能分析、流向分析等;用户分析
nDPI代码深度解析(一)
cjx1005的专栏
10-14 5149
nDPI代码深度解析(一)nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码
ARP协议DPI深度解析
05-07 1197
DPI对ARP报文进行解析(也可以借鉴open dpi?),整理ARP报文结构如下: 结构ether_header定义了以太网帧首部;结构arphdr定义了其后的5个字段,其信息用于在任何类型的介质上传送ARP请求和回答;ether_arp结构除了包含arphdr结构外,还包含源主机和目的主机的地址。 定义以太网首部: typedef struct ehhdr { unsig...
安全术语扫盲
_南寻_的博客
02-09 1万+
行业术语扫盲 肉鸡 所谓“肉鸡”是一种很形象的比喻,比喻那些可以随意被我们控制的电脑,对方可以是WINDOWS系统,也可以是UNIX/LINUX系统,可以是普通的个人电脑,也可以是大型的服务器,我们可以像操作自己的电脑那样来操作它们,而不被对方发觉。 木马 木马就是表面上伪装成了正常的程序,但是当这些程序运行时,就会获取系统的整个控制权限。有很多黑客就是热衷于使用木马程序来控制别人的电脑,比如灰鸽子,黑洞,PcShare等等 远控 远程控制,是在网络上由一台电脑(主控端Remote/客户端)远距
基于DPI深度报文解析)的应用识别2------实际分析
HelloWorld
10-01 7100
新浪微博的分析 早上刚刚起床先刷微博,打算就分析一下新浪微博。登陆之后抓取发布微博的数据包,进行分析。 1.抓包的要点: 1.关闭其他网络应用,保证本机网络流量的干净,便于分析。 2.先开启wireshark,后发布微博,微博发布成功立即停止,其他的应用类似。 3.查看conversion list ,太小的包没必要检查。 4.最关键的一点:一定抓取到3次握手,切记切记。 5.大部分
DPI (Deep Packet Inspection) 深度包检测技术
学习·交流
04-02 3505
DPI技术是一种基于应用层的流量检测和控制技术,称为“深度包检测所谓“深度”是和普通的报文分析层次相比较而言的,普通报文检测仅分析 IP 包的4层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。传统IP头部报文分析而DPI除了对前面的层次分析外,还增加了应用层分析,识别各种应用及其内容。当 IP 数据包、TCP 或 UDP 数据流通过基于DPI
加拿大ISP的深度数据包检查:权力动态与隐私挑战
加拿大的深度数据包检测(Deep Packet Inspection, DPI)正处于一个关键的发展阶段,其中互联网服务提供商(Internet Service Providers, ISPs)正在塑造新的网络权力格局。他们通过分类和区别对待特定的互联网使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值