nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码。
nDPI协议识别总体分为如下部分:
- 结构初始化 ndpi_workflow_init
- 议模块加载 ndpi_init_protocol_defaults
- 协议识别算法注册 ndpi_set_protocol_detection_bitmask2
- 进行流量分类,进行协议识别 ndpi_detection_process_packet
- 针对未能识别的协议进行协议猜测 ndpi_guess_protocol_id
- 产生协议识别结果,记录在结构体 ndpi_flow_struct
上述每一部分都需要进行详细走读,有了这个框架流程后,便可粗略清楚每个部分干了哪些事。其中,协议记载,以及协议识别算法注册部分,均采用了模块化方法,可很方便地进行新增或卸载协议,该部分后续详细介绍。
关键结构体走读:
该结构体贯穿整个流程中,从初始化,到产生识别结果,至为关键。该数据结构的组织,决定了一些关键流程及算法,称为nDPI的核心不为过。
struct ndpi_flow_struct {
/*协议识别结果*/
u_int16_t detected_protocol_stack[NDPI_PROTOCOL_SIZE];
#ifndef WIN32
__attribute__ ((__packed__))
#endif
u_int16_t protocol_stack_info;
/* init parameter, internal used to set up timestamp,... */
u_int16_t guessed_protocol_id, guessed_host_protocol_id;
u_int8_t protocol_id_already_guessed:1, host_already_guessed:1, init_finished:1, setup_packet_direction:1, packet_direction:1, check_extra_packets:1;
/*
if ndpi_struct->direction_detect_disable == 1
tcp sequence number connection tracking
*/
u_int32_t next_tcp_seq_nr[2];
u_int8_t max_extra_packets_to_check;
u_int8_t num_extra_packets_checked;
int (*extra_packets_func) (struct ndpi_detection_module_struct *, struct ndpi_flow_struct *flow);