DPI(Deep packet inspection,深度报文解析)
正好,有这么一个基于opendpi框架的深度报文分析的工具——ndpi
ndpi是在opendpi的基础上编写而来的协议分析工具。源代码编译后生成两个部分,一个是内核层的xt_ndpi.ko模块,用来实时分析流量,另一个是应用层的lib库,给ndpiReader这个工具提供库,用来分析抓包工具提供的文件或者底层网卡提供的数据包。
https://www.ntop.org/products/deep-packet-inspection/ndpi/
http://jaseywang.me/2011/11/14/opendpi/
OpenDPI 早就停止维护更新了,ntop 下面的 nDPI 作为 OpenDPI 的超集,提供了更强大的功能,这里是他的 quick start。
OpenDPI 通过深度包检测来进行流量分类,由原先的 IPP2P 发展而来。可以检测常用的协议(实践下来有很多的协议书属于 unknow 的)。具体的效果如下图。
下载下面两个包,前者是 OpenDPI,后者是 iptables 的一个模块。如果需要对内网的访问做出限制,是需要安装后者的。
https://opendpi.googlecode.com/files/opendpi-1.3.0.tar.gz
https://opendpi.googlecode.com/files/opendpi-netfilter-wrapper-1.2.tar.gz
PF_RING 对网络抓包性能的提升不仅仅是 30% – 40%
高速数据包处理框架 PF_RING
https://www.ntop.org/products/packet-capture/pf_ring/
pcapReader——源码分析
https://blog.csdn.net/suyouli/article/details/71703214
通过pcaplib和ndpi相结合
DPI深度报文检测架构及关键技术实现
https://blog.csdn.net/weixin_30847939/article/details/97206074
今天起持续半年记录DPI产品的研发过程,欢迎大家一起讨论
https://blog.csdn.net/boyteam/article/details/52230476
产品主要借鉴开源snort,目前本人已经大概全部看完,被其插件的设计思想深深打动。
Snort中的模式匹配!!!
https://blog.csdn.net/an_zhenwei/article/details/11611067
搭建开源入侵检测系统Snort,并实现与防火墙联动
https://www.freebuf.com/articles/system/37507.html
Snort作为一款优秀的开源网络入侵检测系统,在windows和Linux平台上均可安装运行。BT5作为曾经的一款经典的渗透神器,基于Ubuntu,里面已经预装很多的应用,比如Mysql、Apache、Snort等等。Guardian是snort的插件,通过读取snort报警日志将入侵IP加入到Iptables中。Iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。
BT5作为曾经的一款经典的渗透神器,
嗯,这个是snort 2.8.5.2 ,它是BT5自带的snort,但是在BT5里面无法正常使用,然后我在此基础上研究了一下。非常感谢您的指正!;)
NIDS, not HIDS
这个可以用开源的ossim
呵呵,HIDS还需要对主机自身的进程、文件、通讯等监控的//: Snort是开源的网络入侵检测系统而非主机入侵检测系统,是NIDS而非HIDS,不是能装在Linux或Windows这样的通用操作系统上就是主机入侵检测系统了。
如果是为了展示,可以使用guardian。但和iptables联动就没有这个必要,snort可以IDS模式,也可以是IPS模式。IPS模式开启nfq/ipq/ipfw就可以根据rules实时干掉packets了。
今天起持续半年记录DPI产品的研发过程,欢迎大家一起讨论
https://blog.csdn.net/boyteam/article/details/52230476
https://blog.csdn.net/Li_Jiaqian/article/details/83154573
【包】PF_RING
DPI(Deep Packet Inspection)是一种基于数据包的深度检测技术,针对不同的网络应用层载荷(例如HTTP、DNS等)进行深度检测,通过对报文的有效载荷检测决定其合法性。