探索网络流量的奥秘:nDPI 深度包检测库

于 2024-06-26 09:31:25 发布
阅读量389 收藏 3
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00085/article/details/139977019
版权

探索网络流量的奥秘:nDPI 深度包检测库

ntopng ![ntop][ntop_logo]

项目介绍

nDPI 是一款遵循 LGPLv3 许可的开源深度包检测(Deep Packet Inspection, DPI)库。它源自 OpenDPI,并集成了 ntop 组织的扩展功能。该项目致力于提供高效且精确的网络协议识别服务,帮助开发者更好地理解和控制网络流量。

项目技术分析

nDPI 库的核心功能在于其强大的协议识别能力。通过自定义的编译和测试流程,开发人员可以轻松地将其集成到各种应用中。nDPI 支持添加新的协议解析器,只需在指定文件中定义协议ID、创建对应的解析代码、更新搜索函数等步骤即可。此外,该库还提供了对不同传输层协议(TCP 和 UDP)的支持,并允许通过选择合适的检测掩码来优化性能。

项目及技术应用场景

nDPI 的应用广泛,主要适用于以下场景:

  1. 网络安全:监控并阻止特定类型的数据流,例如恶意软件传播或非法活动。
  2. 流量管理:企业网络环境中,用于优化带宽分配,优先处理关键业务流量。
  3. 数据分析:互联网服务提供商可以利用 nDPI 分析用户行为,提升服务质量。
  4. 开发自定义安全解决方案:将 nDPI 集成到防火墙、路由器或其他网络设备中,以实现精细的流量控制。

ntop 自己的两款产品 —— ntopng 和 nProbe cento,就充分利用了 nDPI 的功能,实现了流量分析与阻断。

项目特点

  • 开放源代码:nDPI 采用 LGPLv3 许可,鼓励开发者参与项目,贡献新功能或修复问题。
  • 高性能:nDPI 设计用于高速网络环境,能够实时处理大量数据包。
  • 易于扩展:添加新协议支持的过程简单明了,使得 nDPI 可以持续适应不断演进的网络协议世界。
  • 跨平台兼容性:支持包括 Linux、FreeBSD 在内的多种操作系统,并提供清晰的编译指南。

引用资源

关于 nDPI 的详细研究,你可以查阅以下论文:

注意事项

尽管 nDPI 尽力准确检测网络协议,但不能保证无错误。在使用时,请尊重用户的隐私权,并确保有监听、捕获和检查网络流量的合法授权。

林泽炯
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ndpi工作流程
呜呜哈的博客
11-30 1万+
这里以ndpi的例程ndpiReader.c为例,讲述一下ndpi从抓到最终分析出具体协议的流程。简单来讲ndpi是从下层开始逐层向上对数据进行分析的。 先上一发自己画的流程图 这张图是我在最开始看ndpi源码的时候做的流程图,还不是非常的清楚和正确,就连函数的调用关系也只是按先后顺序画的,现在看起来真是有点low,不过也大致说明了一些问题,也就懒得修改了。我会在接下来的文章中说明。这里如果
nDPI:开源的深度检测项目
bvjkc的专栏
01-03 843
DPI DPI是Deep Packet Inspection的缩写,全称深度检测,是对数据负载进行实时分析的一类技术的总称,它的其中一种应用是对流量进行分类。 在互联网发展的早期,每一种协议或者应用都和一个端口关联。比如当我们说80端口时,我们指的就是HTTP协议。但是,端口和协议的关联并不是强制性的,而只是大家约定的共识。后来,许多新出现的协议都没有再和一个固定的端口关联,有的协议为了绕过防火墙的管控,会直接使用HTTP协议来传输。对于网络的监控和管理来说,识别当前流量中有哪些应用和协议,从而采取进一
nDPI:开源深度数据检测软件工具
03-09
nDPI 什么是nDPI? nDPI:registered:是用于深度数据检查的开源LGPLv3。 基于OpenDPI,它含ntop扩展。 我们试图将它们推送到OpenDPI源代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树 如何编译nDPI 为了编译这个 ./autogen.sh 。/配置 制作 要运行测试,请另外执行以下操作: cd测试; ./do.sh 请注意,编译的先决条件括: GNU工具(autogen,automake,autoconf,libtool) GNU C编译器(gcc) 在Debian / Ubuntu系统上,请执行以下操作: 须藤apt-get install build-essential git bison flex libpcap-dev libtool libtool-bin autoconf pkg-config automake
推荐开源项目:基于Linux内核的nDPI集成模块
gitblog_00056的博客
06-21 707
推荐开源项目:基于Linux内核的nDPI集成模块 项目地址:https://gitcode.com/betolj/ndpi-netfilter 项目介绍 在网络安全与流量管理领域,深度检测(Deep Packet Inspection, DPI)技术扮演着至关重要的角色。今天,我们向大家推荐一款名为“GPL-nDPI”的开源项目。该项目实现了在Linux内核中集成nDPI模块,通过iptabl...
nDPI – 快速入门指南(翻译自官方文档)
A_lber_t的博客
04-26 7931
(注:最近在学习ntop这个工具,其核心是nDPI这个,关于这个,官方有一个快速入门指南,不过肯定是英文的,我在阅读过程中,顺便翻译了一下,当然个人知识有限,翻译的有问题的地方,望留言指正,感谢。如果有疑问,建议访问官方文档地址:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf) nDPI –快速入门指南 ...
nDPI代码深度解析(二)
cjx1005的专栏
10-14 2050
进行业务识别,靠单纯的DPI,是难以识别出具体应用的,比如,QQ、微信、微博、Facebook等。采用什么手段进行识别呢?很容易想到,特定的应用往往具有特定的IP地址,域名,url等。事实上,基于这些信息进行应用识别,具有较高的准确率。nDPI的总体思路,可总结为:报文解析DPI识别协议类别 + 内容特征识别具体应用。我们走读nDPI代码,很容易便能印证我们的猜测: static ndpi_netw
【NDPI】源码解析之深度检测分析(一)
A_lber_t的博客
04-28 5252
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度检测流程: 二、重要结构体的源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
xplico中使用ndpi进行协议识别
3-Number
06-22 3034
0x01 缘由 有人通过github找我了解xplico,一直没有好好解答他的问题,于是想着手写这么一篇简单文章。 0x02 介绍 做协议识别:1、特征码        2、端口       3、正则 详细介绍,传送:http://www.sdnlab.com/17449.html 0x03 xplico的使用 在tTcp_garbage.c \Udp_analysis.c 中使用
nDPI深度流量检测|opendpi
03-25
OPENDPI的开源项目 可以提供多种API,更多内容看doc下文档。 源码地址:https://svn.ntop.org/svn/ntop/trunk/nDPI/
ndpi-lua:用于测试 Lua 中的 nDPI深度检测的玩具程序
06-06
介绍 该程序读取 pcap 文件并使用称为 nDPI深度数据检查检查每个数据。... nDPI 是一个深度检测,用 C 语言编程。 nDPI 的头文件位于include/ ,已经构建的位于lib/ 。 编译 制作 libndpiu
ndpi-odl:nDPI-OpenDaylight
05-30
nDPI是由OpenDNS公司开源的一种深度检测,其主要功能是对网络流量进行细粒度的应用识别。nDPI能够识别超过400种应用协议,括P2P、流媒体、即时通讯等,这使得网络管理员可以更深入地了解网络中的数据流向和...
nDPId:基于Tiny nDPI深度检查守护程序工具
02-25
nDPId是一组用于捕获,处理和分类网络流的守护程序和工具。 它只有libnDPI(> = 3.3.0)和libpcap依赖项(除了现代的C语言和POSIX线程外)。 核心守护程序nDPId使用pthread,但出于性能原因,确实使用了互斥锁。 ...
深度检测nDPI
虹科网络安全的博客
07-22 1090
nDPI 开放且可扩展的LGPLv3深度检测。 nDPI是流行的OpenDPI的ntop维护超集。它是根据LGPL许可发布,其目标是通过添加新协议来扩展原始,这些协议否则仅在OpenDPI的付费版本上可用。除了Unix平台,我们还支持Windows,以便为您提供跨平台的DPI体验。此外,我们还对nDPI进行了修改,使其更适合流量监控应用程序,方法是禁用降低DPI引擎速度的特定功能,而这些功能对于网络流量监控不是必需的。 无论使用哪个端口,ntop和nProbe都使用nDPI来添加协议的应用层检
nDPI快速上手指南
热门推荐
coder
12-14 1万+
nDPI快速上手指南 这是一篇针对nDPI官方文档nDPI- Quick Start Guide的翻译,由于文档太老了(13年),所以部分接口已经发生了变化,本人将基于Version2.0对这些过时的接口进行更新。由于水平有限,翻译的、修补的内容不保证一定准确,各位最好上手之后对照源码细读一遍吧。 目录 1.介绍 ................................
【SCI一区】Matlab实现蛇群优化算法SO-CNN-LSTM-Attention的风电功率预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
Axure大屏可视化模板科技感原件.rp
最新发布
07-29
Axure大屏可视化是指使用Axure RP这款原型设计工具来创建具有视觉冲击力和数据展示功能的大屏幕界面。Axure以其强大的交互设计和丰富的组件,成为了实现大屏可视化的重要工具之一。
【创新未发表】Matlab实现斑马优化算法ZOA-Kmean-Transformer-BiLSTM负荷预测算法研究.rar
07-29
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
编程报错总结及其可能的原因.pdf
07-29
编程报错是开发者经常会遇到的问题,正确理解和处理这些报错对于提高编程技能和项目稳定性至关重要。以下是一些常见的编程报错总结及其可能的原因 为了有效管理和预防编程报错,建议采取以下措施: 1、编写清晰的代码:确保代码易于理解和维护,遵循命名约定和编码规范。 2、使用单元测试:编写测试用例来验证代码的正确性,确保在更改代码时不会引入新的错误。 3、持续集成/持续部署(CI/CD):将代码集成和部署自动化,以便在发现问题时及时修复。 4、代码审查:通过代码审查来发现潜在的问题和改进点,提高代码质量。 5、学习和分享:不断学习新的编程技术和最佳实践,与团队成员分享经验和知识,共同提高编程水平。
dpdk抓后通过nDPI识别协议,最后形成pcap
07-13
根据你提供的代码片段,可以看出你正在使用 `nDPI` 对 `DPDK` 抓取的数据进行协议识别,并将识别结果写入到新的 pcap 文件中。 在代码中,`$READER` 变量指向了一个文件路径,这个路径代表了 `nDPI` 提供的用于读取和解析数据的程序。 首先,脚本中的 `build_results` 函数遍历了指定目录中所有以 `.pcap` 扩展名结尾的文件(通过 `PCAPS` 变量保存文件名列表),并使用 `$READER` 执行命令对每个 pcap 文件进行处理。 命令 `$READER -q -i pcap/$f -w result/$f.out` 的含义如下: - `-q` 参数表示以静默模式运行,即不输出额外的信息。 - `-i pcap/$f` 参数指定要读取的 pcap 文件路径。 - `-w result/$f.out` 参数指定要写入的结果文件路径。 这个命令的作用是将输入的 pcap 文件通过 nDPI 进行解析,并将识别结果写入到 `result/$f.out` 文件中。 接下来,`check_results` 函数对已经生成的结果文件进行检查。它使用相似的逻辑遍历 `PCAPS` 列表中的每个 pcap 文件: - 首先,检查对应的结果文件是否存在。 - 如果结果文件存在,首先执行命令 `$READER -q -i pcap/$f -w /tmp/reader.out`,将输入文件通过 nDPI 处理,并将结果写入到临时文件 `/tmp/reader.out` 中。 - 接着,使用 `diff` 命令比较结果文件和临时文件的差异,使用 `wc -l` 命令统计差异行数,并将结果存储在 `NUM_DIFF` 变量中。 - 如果差异行数为 0,则打印 `"$f OK"` 表示结果一致。 - 否则,打印 `"$f ERROR"` 表示结果不一致,并打印执行的命令和差异的内容。 - 最后,删除临时文件 `/tmp/reader.out`。 整个脚本的目的是使用 `nDPI` 对抓取的数据进行协议识别,生成对应的结果文件,并在检查阶段验证识别结果是否正确。如果识别结果与期望结果不一致,则输出错误信息,并将退出状态码设为 1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林泽炯

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值