nDPI代码深度解析(一)

最新推荐文章于 2024-06-03 09:53:01 发布
最新推荐文章于 2024-06-03 09:53:01 发布
阅读量5.1k 收藏 11
点赞数
分类专栏: 开源 文章标签: nDPI 协议分析器 协议识别 DPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjx1005/article/details/78237851
版权 
nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码。

nDPI协议识别总体分为如下部分:

  • 结构初始化 ndpi_workflow_init
  • 议模块加载 ndpi_init_protocol_defaults
  • 协议识别算法注册 ndpi_set_protocol_detection_bitmask2
  • 进行流量分类,进行协议识别 ndpi_detection_process_packet
  • 针对未能识别的协议进行协议猜测 ndpi_guess_protocol_id
  • 产生协议识别结果,记录在结构体 ndpi_flow_struct

上述每一部分都需要进行详细走读,有了这个框架流程后,便可粗略清楚每个部分干了哪些事。其中,协议记载,以及协议识别算法注册部分,均采用了模块化方法,可很方便地进行新增或卸载协议,该部分后续详细介绍。

关键结构体走读:
该结构体贯穿整个流程中,从初始化,到产生识别结果,至为关键。该数据结构的组织,决定了一些关键流程及算法,称为nDPI的核心不为过。

struct ndpi_flow_struct {
  /*协议识别结果*/
  u_int16_t detected_protocol_stack[NDPI_PROTOCOL_SIZE]; 
#ifndef WIN32
  __attribute__ ((__packed__))
#endif
  u_int16_t protocol_stack_info;

  /* init parameter, internal used to set up timestamp,... */
  u_int16_t guessed_protocol_id, guessed_host_protocol_id;

  u_int8_t protocol_id_already_guessed:1, host_already_guessed:1, init_finished:1, setup_packet_direction:1, packet_direction:1, check_extra_packets:1;

  /*
     if ndpi_struct->direction_detect_disable == 1
     tcp sequence number connection tracking
  */
  u_int32_t next_tcp_seq_nr[2];

  u_int8_t max_extra_packets_to_check;
  u_int8_t num_extra_packets_checked;
  int (*extra_packets_func) (struct ndpi_detection_module_struct *, struct ndpi_flow_struct *flow);
最低0.47元/天 解锁文章
DaveyAndDomi
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nDPI代码深度解析(二)
cjx1005的专栏
10-14 2047
进行业务识别,靠单纯的DPI,是难以识别出具体应用的,比如,QQ、微信、微博、Facebook等。采用什么手段进行识别呢?很容易想到,特定的应用往往具有特定的IP地址,域名,url等。事实上,基于这些信息进行应用识别,具有较高的准确率。nDPI的总体思路,可总结为:报文解析DPI识别协议类别 + 内容特征识别具体应用。我们走读nDPI代码,很容易便能印证我们的猜测: static ndpi_netw
nDPI – 快速入门指南
weixin_42724706的博客
12-05 1724
nDpi学习专栏---官方说明
探秘网络取证利器:Xplico —— 开源网络数据解码工具
最新发布
gitblog_00067的博客
06-03 372
探秘网络取证利器:Xplico —— 开源网络数据解码工具 项目地址:https://gitcode.com/xplico/xplico 1、项目介绍 Xplico 是一个专为Unix和类Unix操作系统设计的网络取证分析工具(NFAT)。它依赖libpcap库进行数据包捕获和过滤,提供了一种强大的方式来解析并解读网络流量中的信息。无论你是网络安全专家还是普通用户,Xplico都能帮你深入理解网络...
nDPI安装与入门笔记
qq_40379977的博客
02-17 923
nDPI的安装与ndpiReader的初步使用
ntopng、nprobe和ndpi基础
qq_36767911的博客
12-01 1182
ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。
Ndpi测试用例
SHELLCODE_8BIT的博客
04-23 126
1.只允许IP:PORT:协议指定协议访问指定IP:PORT:协议。2.不同协议测试,是否能够检出。
使用nDPI和ntopng监控工业IoT / Scada流量
虹科网络安全的博客
10-30 599
简介 目前,大多数流量监控工具都是为Internet协议设计的,因此监控工业网络流量如IoT和SCADA流量面临挑战。其中一个重要原因就是工业网络所用的协议与Internet网络协议的不同,现有的流量监控工具无法对检测工业网络中的专有协议。 工业网络流量监控的现状 随着工业网络规模日渐增长,对工业网络流量的监控也变得加重要。工程师需要及时的了解到网络流量特征以及网络的运行情况以便及时解决网络故障。近年来,对于Internet网络的流量监控技术和工具迅速发展,然而对于工业网络流量的监控方面却少有提及。 由于现
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
nDPI:开源深度数据包检测软件工具包
03-09
我们试图将它们推送到OpenDPI代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树如何编译nDPI 为了编译这个库./autogen.sh 。/配置制作要运行测试,请另外执行以下操作: cd测试; ./do.sh 请...
nDPId:基于Tiny nDPI深度包检查守护程序工具包
02-25
nDPId是一组用于捕获,处理和分类网络流的守护程序和工具。 它只有libnDPI(> = 3.3.0)和libpcap依赖项(除了现代的C语言库和POSIX线程外)。 核心守护程序nDPId使用pthread,但出于性能原因,确实使用了互斥锁。 ...
ndpi-lua:用于测试 Lua 中的 nDPI深度包检测)库的玩具程序
06-06
介绍 该程序读取 pcap 文件并使用称为 nDPI深度数据包检查库检查每个数据包。... nDPI 是一个深度包检测库,用 C 语言编程。 nDPI 的头文件位于include/ ,已经构建的库位于lib/ 。 编译 制作 libndpiu
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
NDPI绑定网卡数据获取细节
SHELLCODE_8BIT的博客
04-18 139
代码】NDPI绑定网卡数据获取细节。
协议的注册与维护——ndpi源码分析
suyouli的博客
05-12 1061
在前面的文章中,我们对ndpi中的example做了源码分析。这一次我们将尽可能深入的了解ndpi内部的结构和运作。我们将带着下面三个目的(问题)去阅读ndpi的源代码。 1、ndpi内部是怎么样注册和维护需要检测的协议呢? 2、ndpi在初始化的过程中,做了怎么样的工作? 3、ndpi在底层的实现中具体又是使用怎样的数据结构? 注:这里限于篇幅,本文章指针对使用中的初
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDPI快速上手指南
coder
12-14 1万+
nDPI快速上手指南 这是一篇针对nDPI官方文档nDPI- Quick Start Guide的翻译,由于文档太老了(13年),所以部分接口已经发生了变化,本人将基于Version2.0对这些过时的接口进行更新。由于水平有限,翻译的、修补的内容不保证一定准确,各位最好上手之后对照源码细读一遍吧。 目录 1.介绍 ................................
nDPI:开源的深度包检测项目
bvjkc的专栏
01-03 841
DPI DPI是Deep Packet Inspection的缩写,全称深度包检测,是对数据包负载进行实时分析的一类技术的总称,它的其中一种应用是对流量进行分类。 在互联网发展的早期,每一种协议或者应用都和一个端口关联。比如当我们说80端口时,我们指的就是HTTP协议。但是,端口和协议的关联并不是强制性的,而只是大家约定的共识。后来,许多新出现的协议都没有再和一个固定的端口关联,有的协议为了绕过防火墙的管控,会直接使用HTTP协议来传输。对于网络的监控和管理来说,识别当前流量中有哪些应用和协议,从而采取进一
ndpi的dpdk模式安装
weixin_42651205的博客
12-29 876
下载ndpi https://codeload.github.com/ntop/nDPI/zip/refs/heads/dev 解压 unzip nDPI-dev.zip cd nDPI-dev cat example/README.DPDK Prerequisites ------------- You need to install and compile DPDK in your HOME directory as explained in See http://core.dpdk.org/d
nDPI学习尝试(下载,安装,样例) Ubuntu
qq_44465615的博客
10-16 1049
首先给一下nDPI github链接 https://github.com/ntop/nDPI 希望通过二进制文件安装的可以到以下地址: http://packages.ntop.org/ 想通过git clone进行安装又觉得github下载速度太慢的兄弟可以去网上找一下从github把代码搬运到gitee的方法,这里就先不加说明。觉得麻烦的也可以从博主的gitee库下载(链接时效性不做保证) https://gitee.com/zhu-jingyu-cc/nDPI 简介 好了,首先把简介亮一下,以下是来
ndpi识别SOME/IP的代码
03-25
A: ndpi是一个开源的网络应用层识别工具,需要对其进行扩展以识别SOME/IP协议。SOME/IP是一种用于汽车软件通信的协议,需要进行深度分析以正确识别。 具体实现方法如下: 1.扩展ndpi库中的协议识别规则,以匹配SOME/IP协议的特征码。可以查阅SOME/IP协议规范文档,获取相关特征码的信息。 2.对于SOME/IP协议的数据流,进行数据包分析和解码,获取其中的关键信息,如服务ID、方法ID等。 3.使用识别结果和关键信息来对SOME/IP协议进行分类识别,并将结果返回给应用程序。 需要注意的是,SOME/IP协议是一种复杂的协议,在进行识别时需要考虑其各种特殊情况和异常情况,以确保识别结果的准确性和稳定性。同时,需要不断更新识别规则,以适应不断变化的网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值