nDPI源码的一点分析

最新推荐文章于 2020-08-21 16:01:15 发布
最新推荐文章于 2020-08-21 16:01:15 发布
阅读量2.7k 收藏 3
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/noted2011/article/details/39993925
版权

nDPI是开源的深度包检测库,更详细的介绍,请参考nDPI 官网:http://www.ntop.org/products/ndpi/  

每种应用层协议的检测的流程:
ndpi_detection_process_packet -> check_ndpi_flow_func -> check_ndpi_tcp_flow_func(check_ndpi_udp_flow_func或check_ndpi_other_flow_func) -> ndpi_struct->callback_buffer_tcp_payload[a].func(ndpi_struct, flow)  

ndpi_struct->callback_buffer_tcp_payload[a].func(ndpi_struct, flow)  就到了每个具体的协议检测,比如ndpi_search_http_tcp。

这里的赋值是通过调用ndpi_set_bitmask_protocol_detection给func赋值的。具体流程如下:
setupDetection -> ndpi_set_protocol_detection_bitmask2  ->  ndpi_set_bitmask_protocol_detection 

pcapReader的流程:

processing_thread -> runPcapLoop -> pcap_packet_callback -> packet_processing 

flow的获取:
在packet_processing 获取得到的,
flow = get_ndpi_flow
ndpi_flow = flow->ndpi_flow

同一条流的判断:源地址,目的地址,源端口,目的端口,协议类型
  idx = (lower_ip + upper_ip + iph->protocol + lower_port + upper_port) % NUM_ROOTS

每个包都会对应一条流,直至流的数量大于等于 200000000。


简单的说,首先抓包,再从数据链路层开始解析,一直解析到传输层是TCP或是UDP或是TCP和UDP都不是,最后才到应用层,到应用层只能依靠端口,分析包的内容来提取特征码等等来判断是何种协议类型。


参考文档:

http://blog.csdn.net/grublinux/article/details/31603915


noted2011
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FTP深度包检测——ndpi源码分析
GrubLinux的专栏
08-05 8304
一、简介 二、分析hans
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2342
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
ndpi源码分析一--几个重要的结构体
呜呜哈的博客
11-10 4948
最近研究了ndpi的源代码,过程中看到关于这方面的资料很少,所以就想把自己的收获写下来分享一下,也让之后的同学有所参考。首先简单介绍一下ndpi源码中几个比较重要的结构体,这些结构体的定义一般都在ndpi_typedefs.h头文件中,有兴趣的同学可以参考。 1,ndpi_iphdr, ndpi_tcphdr,ndpi_udphdr, ndpi_ethdr(这几个是在 linux_compat.h
【NDPI源码解析之深度包检测分析(一)
A_lber_t的博客
04-28 5239
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度包检测流程: 二、重要结构体的源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
协议的注册与维护——ndpi源码分析
GrubLinux的专栏
07-11 9762
在前面的文章中
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
nDPI:开源深度数据包检测软件工具包
03-09
nDPI什么是nDPI? nDPI:registered:是用于深度数据包检查的开源LGPLv3库。 基于OpenDPI,它包含ntop扩展。 我们试图将它们推送到OpenDPI源代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树如何...
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
nDPI.tar.gz
12-26
知名的DPI开源软件,可识别各种协议如HTTPS,SMTP,POP3,hotmail,whatsapp等。
nDPI-2.8-stable.zip
11-18
nDPI是一个基于OpenDPIDPI库,目前由ntop维护。 为了给您提供一个跨平台的DPI体验,我们除了支持Unix/Linux外,同时也支持Windows。不仅如此,我们已经通过修改nDPI,使得它更加适合于流量监控应用,我们通过...
ndpi工作流程
呜呜哈的博客
11-30 1万+
这里以ndpi的例程ndpiReader.c为例,讲述一下ndpi从抓包到最终分析出具体协议的流程。简单来讲ndpi是从下层开始逐层向上对数据包进行分析的。 先上一发自己画的流程图 这张图是我在最开始看ndpi源码的时候做的流程图,还不是非常的清楚和正确,就连函数的调用关系也只是按先后顺序画的,现在看起来真是有点low,不过也大致说明了一些问题,也就懒得修改了。我会在接下来的文章中说明。这里如果
DPI — nDPI 开源的深度报文解析组件
深入浅出讲透复杂深奥的问题
08-21 1769
nDPI 官方网站: https://github.com/ntop/nDPI https://www.ntop.org/support/documentation/documentation/ https://www.ntop.org/products/deep-packet-inspection/ndpi/ https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开
【NDPI源码解析之深度包检测分析(二)
A_lber_t的博客
04-29 2538
(Albert 2019.4.29) 目录 一、前言 二、ndpi_api.h源代码分析及注释 一、前言 在分析一些工具或者库的源码时,我们不妨先看看它的API文档,但是在nDPI的快速入门指南中,API文档只有少数的一些函数。但是在nDPI的src/include文件夹中,有一个头文件“ndpi_api.h”,里面声明了非常多的函数。在我们分析其流程之前,可以先分析浏览一下这个头文...
【智能路由器】ndpi深度报文分析源码框架
图像、视频、算法、Linux
09-17 7057
ndpi是在opendpi的基础上编写而来的协议分析工具。源代码编译后生成两个部分,一个是内核层的xt_ndpi.ko模块,用来实时分析流量,另一个是应用层的lib库,给ndpiReader这个工具提供库,用来分析抓包工具提供的文件。 开发者必须为其想要分析的app的流量 对应开发一个 协议分析器,ndpi已经提供了很多现成的协议分析器,如http,QQ,twitter,vmware,yahoo
nDPI流量协议分析(应用软件识别)
墨痕诉清风的博客
01-24 9312
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(和Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
nDPI代码深度解析(一)
cjx1005的专栏
10-14 5148
nDPI代码深度解析(一)nDPI从OpenDPI发展而来,解决了OpenDPI的诸多问题,并具备相当完善的应用层协议识别功能,几乎成为DPI领域的唯一之选。nDPI所能识别的具体协议列表,以及很对OpenDPI做了哪些优化,这里不再详列。nDPI项目代码不敢苟同,代码洋洋洒洒如行云流水,缺少一种统一的编码风格,部分代码仍有较大改进空间,且缺少完善文档及注释。本系列文档,旨在深度解析nDPI项目代码
NDPI分析
yuan08shandong的博客
12-10 4863
简单的说,首先抓包,再从数据链路层开始解析,一直解析到传输层是TCP或是UDP或是TCP和UDP都不是,最后才到应用层,到应用层只能依靠端口,分析包的内容来提取特征码等等来判断是何种协议类型。 一、     重要的数据结构 1、        整个pcap包的信息 struct reader_thread {   struct ndpi_detection_module_struct*nd
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDPI代码深度解析(二)
cjx1005的专栏
10-14 2047
进行业务识别,靠单纯的DPI,是难以识别出具体应用的,比如,QQ、微信、微博、Facebook等。采用什么手段进行识别呢?很容易想到,特定的应用往往具有特定的IP地址,域名,url等。事实上,基于这些信息进行应用识别,具有较高的准确率。nDPI的总体思路,可总结为:报文解析DPI识别协议类别 + 内容特征识别具体应用。我们走读nDPI代码,很容易便能印证我们的猜测: static ndpi_netw
ndpi-splitter
最新发布
11-11
ndpi-splitter是一个网络应用程序,用于拆分ndpi(开放式深度数据包检测库)生成的PCAP文件。ndpi是一种用于流量识别的开放式库,可以用来检测互联网流量中的各种应用程序和网络协议。 ndpi-splitter旨在帮助用户处理ndpi生成的较大的PCAP文件。在网络流量分析和应用识别等领域,使用ndpi进行数据分析非常有用。然而,由于生成的PCAP文件通常很大,在进行分析时可能导致资源消耗过多。 ndpi-splitter的作用就是将较大的PCAP文件拆分成较小的片段。这样,用户可以更容易地处理和分析这些文件片段,减少分析工作的负担。通过拆分PCAP文件,用户可以对单个文件进行更详细和深入的分析,提供更准确和详尽的结果。 ndpi-splitter具有简单易用的特点,用户只需将需要拆分的PCAP文件传递给程序,ndpi-splitter会自动将其拆分成指定大小的文件片段。用户还可以根据自己的需求设置拆分大小和输出文件的命名规则。拆分后的文件片段可以更方便地导入到其他分析工具中进行进一步分析,提高分析效率和精度。 总之,ndpi-splitter是一个实用的工具,可帮助用户处理和分析ndpi生成的大型PCAP文件。它提供了简单易用的功能,可以将文件拆分成更小的片段,使用户能够更轻松地进行网络流量分析和应用识别工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值