nDPI代码深度解析(二)

最新推荐文章于 2024-06-26 09:31:25 发布
最新推荐文章于 2024-06-26 09:31:25 发布
阅读量2k 收藏 3
点赞数
分类专栏: 开源 文章标签: nDPI 协议分析器 协议识别 DPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjx1005/article/details/78237991
版权 
进行业务识别,靠单纯的DPI,是难以识别出具体应用的,比如,QQ、微信、微博、Facebook等。采用什么手段进行识别呢?很容易想到,特定的应用往往具有特定的IP地址,域名,url等。事实上,基于这些信息进行应用识别,具有较高的准确率。nDPI的总体思路,可总结为:报文解析DPI识别协议类别 + 内容特征识别具体应用。

我们走读nDPI代码,很容易便能印证我们的猜测:

static ndpi_network host_protocol_list[] = {
/*
    SoundCloud
  */
  { 0x22FB2FEE /* 34.251.47.238 */, 32, NDPI_PROTOCOL_SOUNDCLOUD },
  { 0x23A06456 /* 35.160.100.86 */, 32, NDPI_PROTOCOL_SOUNDCLOUD },
  { 0x36C0CA58 /* 54.192
最低0.47元/天 解锁文章
DaveyAndDomi
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
DPI — nDPI — Overview
烟云的计算
07-03 3064
目录 文章目录目录nDPInDPI 解析报文的流程nDPI 处理加密流量扩展 nDPI 解析器nDPI 的安装 nDPI 官方文档:https://www.ntop.org/support/documentation/documentation/ nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开源 DPI 实现,nDPI 不仅对多种主流协议进行支持,还能避免因随机端口导致的误判。 nDPI 要求调用它的高层应用需要提前处理好报文的第层,由 nDPI 处理第三层和以上的数据,如果用户使用 n
nDPI的DNS协议解析
指甲的专栏
06-25 3919
nDPI的DNS协议解析1. 说明把nDpi的DNS协议解析部分拿出来看看,写了一些注释。使用的是nDpi的1.6版本,该版本下的文件结构比较简单,协议解析代码都在 src/lib/protocols目录下。dns的解析代码自然就是dns.c了。nDpi协议解析代码基本有着相同的结构,协议解析的入口函数一般定义为 ndpi_search_###。比如DNS的入口函数就是ndpi_search_
探索网络流量的奥秘:nDPI 深度包检测库
最新发布
gitblog_00085的博客
06-26 390
探索网络流量的奥秘:nDPI 深度包检测库 项目地址:https://gitcode.com/vel21ripn/nDPI ![ntop][ntop_logo] 项目介绍 nDPI 是一款遵循 LGPLv3 许可的开源深度包检测(Deep Packet Inspection, DPI)库。它源自 OpenDPI,并集成了 ntop 组织的扩展功能。该项目致力于提供高效且精确的网络协议识别服务,帮...
【NDPI】源码解析深度包检测分析(一)
A_lber_t的博客
04-28 5258
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度包检测流程: 、重要结构体的源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
xplico中使用ndpi进行协议识别
3-Number
06-22 3034
0x01 缘由 有人通过github找我了解xplico,一直没有好好解答他的问题,于是想着手写这么一篇简单文章。 0x02 介绍 做协议识别:1、特征码        2、端口       3、正则 详细介绍,传送:http://www.sdnlab.com/17449.html 0x03 xplico的使用 在tTcp_garbage.c \Udp_analysis.c 中使用
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDPI代码深度解析(一)
cjx1005的专栏
10-14 5154
nDPI代码深度解析(一)nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
nDPI:开源深度数据包检测软件工具包
03-09
我们试图将它们推送到OpenDPI代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树如何编译nDPI 为了编译这个库./autogen.sh 。/配置制作要运行测试,请另外执行以下操作: cd测试; ./do.sh 请...
nDPId:基于Tiny nDPI深度包检查守护程序工具包
02-25
抽象的 nDPId是一组用于捕获,处理和分类网络流的守护程序和工具。 它只有libnDPI(> = 3.3.0)和libpcap依赖项(除了现代的C语言库和POSIX线程外)。 核心守护程序nDPId使用pthread,但出于性能原因,确实使用了...
nDPI深度流量包检测|opendpi
03-25
OPENDPI的开源项目 可以提供多种API,更多内容看doc下文档。 源码地址:https://svn.ntop.org/svn/ntop/trunk/nDPI/
ndpi-lua:用于测试 Lua 中的 nDPI深度包检测)库的玩具程序
06-06
介绍 该程序读取 pcap 文件并使用称为 nDPI深度数据包检查库检查每个数据包。 这是一个概念验证程序。 该程序包含一个建立在 nDPI 之上的库。 这个库是用 C 编程的,它被称为libndpilua 。 该库旨在从 Lua 程序中使用。 main.lua文件读取 pcap 文件并检查每个数据包。 对于每个成功关联的数据包,都会触发操作。 这些操作被定义为 Lua 函数并遵循以下模板: function f ( id , packet ) end 在哪里: id ,是协议 ID。 packet ,是一个 pcap 数据包( const uint8_t *packet )。 依赖关系 这个程序依赖于 libndpi。 nDPI 是一个深度包检测库,用 C 语言编程。 nDPI 的头文件位于include/ ,已经构建的库位于lib/ 。 编译 制作 libndpiu
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
NDPI单项双向流量检测验证
SHELLCODE_8BIT的博客
04-13 104
1.2.3.4.5.6.7.
DPI — nDPI 开源的深度报文解析组件
深入浅出讲透复杂深奥的问题
08-21 1772
nDPI 官方网站: https://github.com/ntop/nDPI https://www.ntop.org/support/documentation/documentation/ https://www.ntop.org/products/deep-packet-inspection/ndpi/ https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开
协议的注册与维护——ndpi源码分析
suyouli的博客
05-12 1062
在前面的文章中,我们对ndpi中的example做了源码分析。这一次我们将尽可能深入的了解ndpi内部的结构和运作。我们将带着下面三个目的(问题)去阅读ndpi的源代码。 1、ndpi内部是怎么样注册和维护需要检测的协议呢? 2、ndpi在初始化的过程中,做了怎么样的工作? 3、ndpi在底层的实现中具体又是使用怎样的数据结构? 注:这里限于篇幅,本文章指针对使用中的初
nDPI流量协议分析(应用软件识别
墨痕诉清风的博客
01-24 9317
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(和Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
ndpi识别SOME/IP的代码
03-25
A: ndpi是一个开源的网络应用层识别工具,需要对其进行扩展以识别SOME/IP协议。SOME/IP是一种用于汽车软件通信的协议,需要进行深度分析以正确识别。 具体实现方法如下: 1.扩展ndpi库中的协议识别规则,以匹配SOME/IP协议的特征码。可以查阅SOME/IP协议规范文档,获取相关特征码的信息。 2.对于SOME/IP协议的数据流,进行数据包分析和解码,获取其中的关键信息,如服务ID、方法ID等。 3.使用识别结果和关键信息来对SOME/IP协议进行分类识别,并将结果返回给应用程序。 需要注意的是,SOME/IP协议是一种复杂的协议,在进行识别时需要考虑其各种特殊情况和异常情况,以确保识别结果的准确性和稳定性。同时,需要不断更新识别规则,以适应不断变化的网络环境。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值