FTP深度包检测——ndpi源码分析

最新推荐文章于 2024-08-25 21:31:29 发布
最新推荐文章于 2024-08-25 21:31:29 发布
阅读量8.4k 收藏 11
点赞数 4
分类专栏: security work note 文章标签: 移动安全 深度包分析 ndpi 源码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GrubLinux/article/details/38377405
版权

一、简介

       在本文中,我们将看到ndpi提供的的分析函数ndpi_detection_process_packet的主要实现。以及ndpi内部是如何对FTP协议实现深度包检测技术。对于前期的初始化和API的使用,请参考附录中的文章。欢迎大家一起讨论学习。然后我们这次会带着下面几个问题阅读源代码:

         1、ndpi的分析函数进行了怎么样的工作?

         2、ndpi内部是如何实现深度包检测技术的?

         3、ndpi里面,对于多种协议的检测是基于怎样的准则进行选择?

注意:因为限于篇幅需要下面进行分析默认针对ipv4,如果有不正确的地方欢迎大家一起来讨论学习

二、分析函数API的实现  

       ndpi内部提供了ndpi_detection_process_packet(在ndpi_main.c中进行了定义)函数作为协议检测的API,函数原型及解释如下:      

       
unsigned int ndpi_detection_process_packet(
    struct ndpi_detection_module_struct *ndpi_struct,
    //ndpi_detection_module_struct在附录2中进行了详细的叙述,在ndpi_init_detection_module函数进行初始化
    struct ndpi_flow_struct *flow,
    //用来维护当前会话的检测协议栈,以及检测的参数等
    const unsigned char *packet,
    //ip层数据报文
    const unsigned short packetlen,
    //报文长度
    const u_int32_t current_tick,
    //包的tick值
    struct ndpi_id_struct *src,struct ndpi_id_struct *dst)
    //ndpi_id_struct里面包含各个协议的源目的端信息

       在ndpi_detection_process_packet函数中,我们根据参数中的ndpi_struct、packet、current_tick、src、dst对flow完成一系列的初始化工作。在其内部维护一个针对会话的协议栈,然后根据多次的检测选择最优的匹配的应用层协议。具体动作细节如下:
       1、检测包长度
        这里它通过检测包长度(packetlen),对包的可用性进行了测试。如果包长度没有20字节(ip数据报文至少20字节),则利用ndpi_int_reset_packet_protocol把flow内部的协议栈顶类型置为UNKNOW。并且清0协议栈信息字段,最后返回UNKNOW类型。这里关于flow协议栈的结构和使用我们将在第三章的FTP协议检测中详细进行介绍。
        2、flow->packet的初始化
        这里通过捕获的ip报文(packet参数)和用户设置的心跳值(current_tick参数),对flow->packet.iph和flow->packet.tick_timestamp进行初始化。
        3、传输层检测及flow的初始化
        这里主要通过函数ndpi_init_packet_header(在ndpi_main.c中进行了定义)进行了实现,他完成比较多的工作。
        1)首先一个就是根据ndpi_packet_struct中的协议栈内容和描述信息,对flow的协议栈内容和描述信息进行了初始化。这部分通过内部的ndpi_apply_flow_protocol_to_packet函数进行了实现。
        2)根据ipv4和ipv6对flow中的packet分别进行初始化(flow->packet.iph和flow->packet.iphv6)
        3)通过ndpi_detection_get_l4_internal对报文的ipv4(ipv6)header进行检测,并且获取传输层协议信息。通过l4protocol变量进行传递,记录传输层协议号。
        4)根据l4protocol字段进行传输层的判别,如果是tcp(协议号是6)则对包内部的syn和ack等字段进行初步的检测。如果是udp(协议号是17),则计算出包的长度。初始化flow->packet当中的字段
        4、flow传输层信息的初始化
        这里主要通过报文获取传输层信息,比如在tcp协议中我们捕获到的报文是握手中的什么角色,是ack包还是其他的。这些信息将对检测提供一些数据。
        1)首先通过src和dst参数初始化flow->src和flow->dst字段
        2)通过ndpi_connection_tracking函数进行我们上述的工作。这里它判断的tcp握手的状态,并且通过flow->next_tcp_seq_nr数组对tcp序列进行了描述。
        我们这里拿一段代码来一起进行分析。看看具体是怎样操作的。 
        
if (tcph->syn != 0 && tcph->ack == 0 && flow->l4.tcp.seen_syn == 0 && flow->l4.tcp.seen_syn_ack == 0
	&& flow->l4.tcp.seen_ack == 0) {
      flow->l4.tcp.seen_syn = 1;}
if (tcph->syn != 0 && tcph->ack != 0 && flow->l4.tcp.seen_syn == 1 && flow->l4.tcp.seen_syn_ack == 0
	&& flow->l4.tcp.seen_ack == 0) {
      flow->l4.tcp.seen_syn_ack = 1;}
if (tcph->syn == 0 && tcph->ack == 1 && flow->l4.tcp.seen_syn == 1 && flow->l4.tcp.seen_syn_ack == 1
	&& flow->l4.tcp.seen_ack == 0) {
      flow->l4.tcp.seen_ack = 1;}
           上面这段代码中,我们不难看出ndpi中通过flow->l4.tcp中的seen_syn、seen_syn_ack和seen_ack记录tcp的握手状态。然后根据分析报文中的syn和ack字段进行归类,为后期的检测提供数据基础。
         5、建立传输层的描述
         这一部分通过ndpi_selection_packet进行记录,主要是提供给下面第6部分一个传输层上分类的检测。这里的ndpi_selection_packet将记录传输层的信息。包括是tcp还是udp,里面还检测不出来时的灰色选项(tcp or udp)。数据结构这里通过一个整形进行记录,大家还有不明白可以参考附录中的ndpi协议的注册及维护的文章。里面第三章的第一点详细讲述了该方法。
         6、调用对应的检测函数
         这里ndpi根据第5点提供的参考,对捕获的数据包进行了传输层的分类。分成tcp、udp和none tcp&&udp(既不是tcp也不是udp)。然后对于每个类别,调用其对用的注册函数。
         注:关于检测协议函数的注册,我们在协议的注册与维护一文中进行了详细的介绍。具体请参考附录2
         我们这里列一段代码来一起看看他的具体操作是怎么样的:
         
if (flow != NULL && flow->packet.tcp != NULL) {
    //....tcp类别
} else if (flow != NULL && flow->packet.udp != NULL) {
    //....udp类别      
    for (a = 0; a < ndpi_struct->callback_buffer_size_udp; a++) {
    //对每个udp协议,ndpi内部根据先前的检测结果,判断是否应该继续进行检测。ndpi内部很多运用移位和与或运算,有兴趣的朋友可以先去看看这些
    if ((ndpi_struct->callback_buffer_udp[a].ndpi_selection_bitmask & ndpi_selection_packet) ==
	  ndpi_struct->callback_buffer_udp[a].ndpi_selection_bitmask
	  && NDPI_BITMASK_COMPARE(flow->excluded_protocol_bitmask,
				  ndpi_struct->callback_buffer_udp[a].excluded_protocol_bitmask) == 0
	  && NDPI_BITMASK_COMPARE(ndpi_struct->callback_buffer_udp[a].detection_bitmask,
				  detection_bitmask) != 0) {
	//这里调用在初始化阶段注册的检测函数,func字段是一个函数指针。我们接下来的FTP协议也是通过这种方式进行调用。不过FTP是tcp类别的
	ndpi_struct->callback_buffer_udp[a].func(ndpi_struct, flow);

	if(flow->detected_protocol_stack[0] != NDPI_PROTOCOL_UNKNOWN)
	  break; /* Stop after detecting the first protocol */
      }
    }
} else {
   //....非tcp&&udp类别
}

三、FTP深度包检测的实现

          这里我们将介绍一下,ndpi里面FTP的深度深度包检测是怎么实现。通过上述的第二章第6点的func调用,我们在ndpi_detection_process_packet函数内部的tcp传输层类别调用FTP的检测函数ndpi_search_ftp_tcp。具体定义在<ndpi home>/src/lib/protocol/中,里面囊括了ndpi支持的所有协议的源代码。我们马上一起来看看ndpi是怎么样完成FTP的深度包检测的。这一部分我们分为两part进行介绍,具体如下:
       1、源和目的ip及端口检测
        这里首先是两个分别针对源端口和目的端口的if语句检查,这里应该是考虑到FTP请求发起方的问题。检查内容包括:
        1)src非空
        2)ip报文的源ip地址和src中的FTP地址是否匹配
        3)协议栈顶不等于UNKNOW类型
        4)比较src中的检测协议映射是否包含FTP协议
        5)src中ftp_timer的设置非0
        然后完成上面的工作之后,如果会话的目的端口号大于1024,并且源端口号大于1024或等于20。则判定这个会话为FTP会话,通过ndpi_int_ftp_add_connection(这个函数在ftp.c中定义和实现,具体实现的函数在ndpi_main.c中抽象出来和其他检测协议共用)修改协议栈。这里因为调用关系比较多,我们不列代码了。我们将在下面第2部分,针对栈的实现和操作进行介绍。
        2、检测协议栈的操作
        ndpi内部的ndpi_flow_struct中通过数组和自定义的栈描述描述信息,实现了深度检测的栈结构。其实属性Linux内核的人会发现,这个结果和进程内核栈的实现是非常相似的。只是比较简单,没有了想thread_info那样的索引。栈本身是通过detected_protocol_stack数组进行实现,然后在protocol_stack_info字段中定义了两个信息来描述这个栈。一个是entry_is_real_protocol,它描述的是栈中是否检测出了正确的协议。第二个是current_stack_size_minus_one,它描述的是栈的大小。detected_protocol_stack栈中的是从高地址开始的,也就是detected_protocol_stack[0]代表的是栈顶。current_stack_size_minus_one表示的栈底部。具体定义如下:
       
typedef struct ndpi_flow_struct {
  u_int16_t detected_protocol_stack[NDPI_PROTOCOL_HISTORY_SIZE]; //define in ndpi_struct.h中
#if NDPI_PROTOCOL_HISTORY_SIZE > 1
#  if NDPI_PROTOCOL_HISTORY_SIZE > 5
#    error protocol stack size not supported
#  endif
  struct {
    u_int8_t entry_is_real_protocol:5; 
    u_int8_t current_stack_size_minus_one:3;
  }//栈描述结构
#if !defined(WIN32)
    __attribute__ ((__packed__))
#endif
    protocol_stack_info;
#endif  
  .......
} ndpi_flow_struct_t;
       对栈的操作,并没有进行封装。直接在各自的功能函数中进行实现,以上面的添加协议为例,将最终在ndpi_int_change_flow_protocol(ndpi_main.c中实现)进行操作。这里的函数是在FTP的检测函数ndpi_search_ftp_tcp内部通过ndpi_int_ftp_add_connection协议操作函数,最终在ndpi_main.c中得到调用和实现。具体的调用过程这里省略,有兴趣的朋友可以联系我。我们这里列一段ndpi_int_change_flow_protocol的栈操作代码,其实并没有我们相信中那么难。
       
/* now shift and insert */
for (a = stack_size - 1; a > 0; a--) {
    flow->detected_protocol_stack[a] = flow->detected_protocol_stack[a - 1];
}
flow->protocol_stack_info.entry_is_real_protocol <<= 1;
/* now set the new protocol */
flow->detected_protocol_stack[0] = detected_protocol;
       上面这几行代码,实现了栈的滑动和插入过程。没有想象中那么难吧。
        
      3、FTP主动模式和被动模式的检测
      这里我们需要补充一点背景知识:
      FTP主动模式:由服务器端发FTP请求
      FTP被动模式:由客户端发送FTP请求
      在ndpi_search_ftp_tcp中,ndpi通过search_passive_ftp_mode和search_active_ftp_mode调用并进行实现。这里因这两个函数原理差不多,我们针对search_passive_ftp_mode进行介绍。这里主要采用的方法是对捕获的FTP数据报文进行搜索,包搜索的实现是通过memcmp函数进行实现,这个是公共库中的函数。在#include <string.h>或#include<memory.h>中,我们可以获得这个函数。函数原型如下:
      int memcmp(const void *buf1, const void *buf2, unsigned int count);
当buf1<buf2时,返回值<0
当buf1=buf2时,返回值=0
当buf1>buf2时,返回值>0
然后工具有了,接下来就是利用这个函数对捕获的包进行比较。看看有没有被动模式包含的字段,这里我们再列一段代码一起看看: 
if (packet->payload_packet_len > 34 && ndpi_mem_cmp(packet->payload, "229 Entering Extended Passive Mode", 34) == 0) {
    if (dst != NULL) {
      ndpi_packet_src_ip_get(packet, &dst->ftp_ip);
      dst->ftp_timer = packet->tick_timestamp;
      dst->ftp_timer_set = 1;
      NDPI_LOG(NDPI_PROTOCOL_FTP, ndpi_struct, NDPI_LOG_DEBUG, "saved ftp_ip, ftp_timer, ftp_timer_set to dst");
      NDPI_LOG(NDPI_PROTOCOL_FTP, ndpi_struct, NDPI_LOG_DEBUG,
	       "FTP Extended PASSIVE MODE FOUND: use Server %s\n", ndpi_get_ip_string(ndpi_struct, &dst->ftp_ip));
    }
    if (src != NULL) {
      ndpi_packet_dst_ip_get(packet, &src->ftp_ip);
      src->ftp_timer = packet->tick_timestamp;
      src->ftp_timer_set = 1;
      NDPI_LOG(NDPI_PROTOCOL_FTP, ndpi_struct, NDPI_LOG_DEBUG, "saved ftp_ip, ftp_timer, ftp_timer_set to src");
      NDPI_LOG(NDPI_PROTOCOL_FTP, ndpi_struct, NDPI_LOG_DEBUG,
	       "FTP Extended PASSIVE MODE FOUND: use Server %s\n", ndpi_get_ip_string(ndpi_struct, &src->ftp_ip));
    }
    return;
}
上述代码中,通过if中的判断如果包长度大于34,并且能匹配到229 Entering Extended Passive Mode。则进入判断分别对src和dst进行非空的测试,最后通过NDPI_LOG记录进去日志中。注:这里的src和dst并不是指源端口,而是上文中描述的ndpi_id_struct结构。

四、附录

     附录一:ndpi网站(源代码用svn详细见网站介绍):
                           http://www.ntop.org/products/ndpi/

     附录二:协议的注册与维护——ndpi源码分析
                          http://blog.csdn.net/grublinux/article/details/37670619

     附录三:pcapreader——源码分析
                          http://blog.csdn.net/grublinux/article/details/31603915

        最后谢谢在这个过程中,williamy给予我的帮助。




GrubLinux
关注
专栏目录
ndpi源码分析一--几个重要的结构体
呜呜哈的博客
11-10 4989
最近研究了ndpi的源代码,过程中看到关于这方面的资料很少,所以就想把自己的收获写下来分享一下,也让之后的同学有所参考。首先简单介绍一下ndpi源码中几个比较重要的结构体,这些结构体的定义一般都在ndpi_typedefs.h头文件中,有兴趣的同学可以参考。 1,ndpi_iphdr, ndpi_tcphdr,ndpi_udphdr, ndpi_ethdr(这几个是在 linux_compat.h
nDPI:开源的深度检测项目
bvjkc的专栏
01-03 907
DPI DPI是Deep Packet Inspection的缩写,全称深度检测,是对数据负载进行实时分析的一类技术的总称,它的其中一种应用是对流量进行分类。 在互联网发展的早期,每一种协议或者应用都和一个端口关联。比如当我们说80端口时,我们指的就是HTTP协议。但是,端口和协议的关联并不是强制性的,而只是大家约定的共识。后来,许多新出现的协议都没有再和一个固定的端口关联,有的协议为了绕过防火墙的管控,会直接使用HTTP协议来传输。对于网络的监控和管理来说,识别当前流量中有哪些应用和协议,从而采取进一
协议的注册与维护——ndpi源码分析
GrubLinux的专栏
07-11 9877
在前面的文章中
nDPI -- 开源深度检测
qq_37921827的博客
08-25 169
传统的流量分析仅限于数据头部,通过传输协议和应用程序端口识别应用程序协议。许多应用程序协议在开发时会遵循某些标准端口的分配。例如,SMTP使用TCP协议和端口25,Telnet使用TCP协议和端口23。这些协议和端口的关联在Unix系统下的/etc/protocols文件中明确指定。在RPC出现之前,许多网络服务使用静态端口分配,即每个服务都有一个固定的端口号。随着服务数量的增加,固定的端口号可能会被耗尽。且静态端口分配缺乏灵活性,难以适应动态变化的网络环境。
nDPI源码的一点分析
noted2011的专栏
10-11 2798
ndpi是开源的深度检测库。
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2496
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
ndpi-lua:用于测试 Lua 中的 nDPI深度检测)库的玩具程序
06-06
介绍 该程序读取 pcap 文件并使用称为 nDPI深度数据检查库检查每个数据。... nDPI 是一个深度检测库,用 C 语言编程。 nDPI 的头文件位于include/ ,已经构建的库位于lib/ 。 编译 制作 libndpiu
nDPI深度流量检测|opendpi
03-25
OPENDPI的开源项目 可以提供多种API,更多内容看doc下文档。 源码地址:https://svn.ntop.org/svn/ntop/trunk/nDPI/
nDPI_Developing_base1.4:基于nDPI1.4二次开发为更适合中国网络协议环境的深度检测框架
05-10
$ pushd nDPI $ autoheader $ aclocal $ autoconf $ autoreconf -ivf $ ./configure --enable-debug=yes # enable debug $ make # for nDPI $ popd $ make # for kernel module $ make install $ make test # simple...
【NDPI源码解析之深度检测分析(一)
A_lber_t的博客
04-28 5662
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度检测流程: 二、重要结构体的源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
nDPId:基于Tiny nDPI深度检查守护程序工具
02-25
抽象的 nDPId是一组用于捕获,处理和分类网络流的守护程序和工具。 它只有libnDPI(> = 3.3.0)和libpcap依赖项(除了现代的C语言库和POSIX线程外)。 核心守护程序nDPId使用pthread,但出于性能原因,确实使用了互斥锁。 而是通过分组分配机制来实现同步。 为了平衡所有工作负载(或多或少)的所有线程,使用5元组计算哈希值。 此值用作处理线程的唯一标识符。 多线程数据处理必须是流稳定的。 nDPId使用libnDPI的JSON序列化生成有意义的JSON输出,然后将其发送到nDPIsrvd进行分发。 高级应用程序可以连接到nDPIsrvd,以从nDPId获取最新的流/数据事件。 不幸的是,nDPIsrvd当前不支持TCP连接的任何加密/身份验证。 待办事项:提供某种AEAD,用于通过TCP连接分发服务器客户端(某种程度上非常关键)。 建筑学 该项目使用
nDPI代码深度解析(一)
cjx1005的专栏
10-14 5215
nDPI代码深度解析(一)nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码
协议的注冊与维护——ndpi源代码分析
weixin_30559481的博客
03-11 68
在前面的文章中,我们对ndpi中的example做了源代码分析。这一次我们将尽可能深入的了解ndpi内部的结构和运作。我们将带着以下三个目的(问题)去阅读ndpi的源代码。 1、ndpi内部是怎么样注冊和维护须要检測的协议呢? 2、ndpi在初始化的过程中。做了怎么样的工作? 3、ndpi在底层的实现中详细又是使用如何的数据结构? 注:这里限于篇幅。本文章指针对使...
DPI — nDPI 开源的深度报文解析组件
深入浅出讲透复杂深奥的问题
08-21 1919
nDPI 官方网站: https://github.com/ntop/nDPI https://www.ntop.org/support/documentation/documentation/ https://www.ntop.org/products/deep-packet-inspection/ndpi/ https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开
NDPI分析
yuan08shandong的博客
12-10 4965
简单的说,首先抓,再从数据链路层开始解析,一直解析到传输层是TCP或是UDP或是TCP和UDP都不是,最后才到应用层,到应用层只能依靠端口,分析的内容来提取特征码等等来判断是何种协议类型。 一、     重要的数据结构 1、        整个pcap的信息 struct reader_thread {   struct ndpi_detection_module_struct*nd
NDPI绑定网卡数据获取细节
SHELLCODE_8BIT的博客
04-18 152
【代码】NDPI绑定网卡数据获取细节。
ndpi工作流程
热门推荐
呜呜哈的博客
11-30 1万+
这里以ndpi的例程ndpiReader.c为例,讲述一下ndpi从抓到最终分析出具体协议的流程。简单来讲ndpi是从下层开始逐层向上对数据进行分析的。 先上一发自己画的流程图 这张图是我在最开始看ndpi源码的时候做的流程图,还不是非常的清楚和正确,就连函数的调用关系也只是按先后顺序画的,现在看起来真是有点low,不过也大致说明了一些问题,也就懒得修改了。我会在接下来的文章中说明。这里如果
pcap_dispatch与pcap_loop使用区别
wangzhicheng2013的专栏
10-17 4512
1.pcap_dispatch和pcap_loop使用回调函数结构都一样: static void process_packet(u_char *user, struct pcap_pkthdr *pHeadr, u_char *pkt_data) { // 如果process_packet定义在类中,那么必须以static修饰 } 2.pcap_dispatch和pcap_loop函数参数都一样: int pkts_read = -1; // 让libpcap一直抓,如果pkts
使用pfring进行抓,使用ndpi进行协议分析,如ndpi_detection_process_packet,提供详细的c语言示例代码
最新发布
09-23
PFRING是一个高性能的实时网络数据捕获库,它允许用户在Linux平台上直接从内核空间获取数据,而不需要经过用户空间的过滤。NDPI (Network Deep Packet Inspection) 则是一个开源项目,用于快速检测网络数据中的协议类型。 要在C语言中结合PFRING和NDPI进行抓并进行协议分析,你需要先安装这两个库,然后编写相应的代码。以下是一个简化的示例,展示了如何使用PFRING获取数据并利用NDPI进行协议识别: ```c #include <stdio.h> #include <stdlib.h> #include <string.h> #include <sys/socket.h> #include <netinet/in.h> #include <pcap.h> #include "libpfring.h" #include "ndpi_api.h" void packet_callback(const struct pfring_pkthdr *hdr, const u8 *packet_data, void *userdata) { NDPI_PROTOCOL_INFO *proto_info = ndpi_detection_get_proto_info(packet_data, hdr->caplen); if (proto_info != NULL) { printf("Detected protocol: %s (%d)\n", ndpi_name(proto_info->number), proto_info->number); // Do further processing or analysis based on the protocol information ndpi_detection_free_prot_info(proto_info); } else { printf("Unknown protocol.\n"); } } int main() { int ring_fd = pfring_open("eth0"); // Replace with your network interface if (ring_fd < 0) { perror("Error opening pfring device"); return -1; } pfring_set_packet_handler(ring_fd, packet_callback, NULL); if (pfring_start_capture(ring_fd) == -1) { perror("Error starting capture"); pfring_close(ring_fd); return -1; } printf("Capturing packets... Press Ctrl+C to stop\n"); while (true) { sleep(1); // Replace with a more efficient loop or use a timer } pfring_stop_capture(ring_fd); pfring_close(ring_fd); return 0; } ``` 这个示例创建了一个环回设备,监听指定的网络接口(在这个例子中是`eth0`),当接收到新的数据时,会调用`packet_callback`函数进行处理。在该回调中,NDPI会对每个数据进行检测,并打印出识别到的协议名称和编号。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值