nDPI安装与入门笔记

已于 2023-02-17 17:03:48 修改
阅读量917 收藏 3
点赞数
分类专栏: nDPI 文章标签: linux 网络安全 安全威胁分析
于 2023-02-17 10:18:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40379977/article/details/129065458
版权

nDPI简介

nDPI是一个用于深度数据包检测的开源 LGPLv3 库。它基于OpenDPI,它包括ntop扩展。它支持Unix/Linux/Windows系统。

官方github链接:GitHub - ntop/nDPI at 4.6-stable

官方pdf文档也提供详细安装与使用教程:nDPI/nDPI_QuickStartGuide.pdf at 4.6-stable · ntop/nDPI · GitHub

 

安装(Ubuntu)

可通过git clone或手动下载方式获取源码:

git clone https://github.com/ntop/nDPI.git

编译所需环境要求:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

(推荐)如果想编译完整项目,则在目录下逐行执行:

./autogen.sh
make

(不推荐)如果只想编译库,忽略其他工具或测试程序,则在目录下逐行执行:

./autogen.sh --with-only-libndpi
make

若编译了完整项目,则可通过测试程序检测是否编译完整,逐行执行:

./tests/do.sh 	
./tests/do-unit.sh 
./tests/do-dga.sh

测试程序正常返回结果如下:

 

 

 ndpiReader使用

ndpiReader是一个demo应用,可进行离线和在线流量分析。

离线pcap分析:

sudo ./example/ndpiReader -i test.pcap

-i:提供pcap文件路径。

在线流量分析:

sudo ./example/ndpiReader -i ens33 -s 30

-i:当-s选项存在时,-i选项提供网卡接口

-s:提供捕获时长

注:执行此语句必须有sudo权限

自定义protocol:

首先新建txt文件,路径与文件名和自定义,此处以protocol.txt为例。

通过HTTP Host识别的协议格式:

        host:"<待识别HTTP Host>"@<协议名>

具体内容如下:

# Subprotocols 
# Format: 
# host:"<value>",host:"<value>",.....@<subproto> 
host:"baidu.com"@Baidu
host:"google.com"@Google

通过传输层识别的协议格式:

        <tcp|udp>:<端口号>,<tcp|udp>:<端口号>@<协议名>

具体内容如下:

#  Format: 
# <tcp|udp>:,<tcp|udp>:,.....@ 
tcp:81,tcp:8181@HTTP 
udp:5061-5062@SIP 
tcp:860,udp:860,tcp:3260,udp:3260@iSCSI 
tcp:3000@ntop

使用ndpiReader采取自定义协议进行识别,则执行:

sudo ./example/ndpiReader -i ens33 -s 30 -p protocol.txt

-p:提供自定义协议文件路径

在识别结果中,协议的部分可看到自定义的协议Baidu和Bilibili的流量统计信息:

补充

nDPI的重心在于nDPI提供的API,此部分内容后续更新。

Ziieq
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nDPI流量协议分析(应用软件识别)
墨痕诉清风的博客
01-24 9311
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(和Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
nDPI——快速入门指南(翻译官方文档)
The Matrix
10-17 3266
该翻译文档转载自:https://blog.csdn.net/A_lber_t/article/details/89552332,我自己做了一些修改 官方文档(英文版)链接:https://github.com/ntop/nDPI/tree/3.0-stable/doc 目录 1. nDPI介绍 1.1 下载源 2. nDPI库 2.1 编译nDPI源码 2.2 编译示例n...
nDPI:开源深度数据包检测软件工具包
03-09
nDPI 什么是nDPInDPI:registered:是用于深度数据包检查的开源LGPLv3库。 基于OpenDPI,它包含ntop扩展。 我们试图将它们推送到OpenDPI源代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树 如何编译nDPI 为了编译这个库 ./autogen.sh 。/配置 制作 要运行测试,请另外执行以下操作: cd测试; ./do.sh 请注意,编译的先决条件包括: GNU工具(autogen,automake,autoconf,libtool) GNU C编译器(gcc) 在Debian / Ubuntu系统上,请执行以下操作: 须藤apt-get install build-essential git bison flex libpcap-dev libtool libtool-bin autoconf pkg-config automake
Ndpi测试用例
SHELLCODE_8BIT的博客
04-23 125
1.只允许IP:PORT:协议指定协议访问指定IP:PORT:协议。2.不同协议测试,是否能够检出。
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDPI – 快速入门指南
weixin_42724706的博客
12-05 1720
nDpi学习专栏---官方说明
探索nDPI:网络流量检测与应用识别的利器
gitblog_00091的博客
03-22 589
探索nDPI:网络流量检测与应用识别的利器 项目地址:https://gitcode.com/ntop/nDPI nDPI 是一个开源项目,由ntop组织开发,用于深度包检查(Deep Packet Inspection, DPI)和网络应用程序的实时识别。这个项目的目的是提供一种高效、灵活且可扩展的方式来监控和理解网络上的数据流行为。 项目简介 nDPI是一个C语言编写的库,它可以解码网络流量并...
ntopng、nprobe和ndpi基础
qq_36767911的博客
12-01 1177
ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。
nDPI学习参考资料
weixin_42724706的博客
12-07 287
nDPi 学习参考资料
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
ndpi-odl:nDPI-OpenDaylight
05-30
通过nDPI与OpenDaylight的结合,可以实现对网络流量的智能管理和控制。 【nDPI与OpenDaylight的结合】 在"ndpi-odl"项目中,nDPI被集成到OpenDaylight控制器中,提供了更强大的应用层流量洞察能力。这使得Open...
ndpiReader.rar_easierazo_futurewxf_ndpi
09-24
ndpi示例,供源码分析、实例演示等参考。。。。。。。。。
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2333
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
使用nDPI和ntopng监控工业IoT / Scada流量
虹科网络安全的博客
10-30 599
简介 目前,大多数流量监控工具都是为Internet协议设计的,因此监控工业网络流量如IoT和SCADA流量面临挑战。其中一个重要原因就是工业网络所用的协议与Internet网络协议的不同,现有的流量监控工具无法对检测工业网络中的专有协议。 工业网络流量监控的现状 随着工业网络规模日渐增长,对工业网络流量的监控也变得加重要。工程师需要及时的了解到网络流量特征以及网络的运行情况以便及时解决网络故障。近年来,对于Internet网络的流量监控技术和工具迅速发展,然而对于工业网络流量的监控方面却少有提及。 由于现
NDPI绑定网卡数据获取细节
SHELLCODE_8BIT的博客
04-18 138
【代码】NDPI绑定网卡数据获取细节。
协议的注册与维护——ndpi源码分析
suyouli的博客
05-12 1060
在前面的文章中,我们对ndpi中的example做了源码分析。这一次我们将尽可能深入的了解ndpi内部的结构和运作。我们将带着下面三个目的(问题)去阅读ndpi的源代码。 1、ndpi内部是怎么样注册和维护需要检测的协议呢? 2、ndpi在初始化的过程中,做了怎么样的工作? 3、ndpi在底层的实现中具体又是使用怎样的数据结构? 注:这里限于篇幅,本文章指针对使用中的初
Ntopng的安装/部署_npbore安装/部署及详细配置介绍
weixin_43818597的博客
06-30 1350
ntopng和nProbe都是付费的产品,虽然有免费试用版本,但是功能少的不是一点半点,如果你愿意付出几百欧元去建立一个全面的网络监控平台,这个东西不错,图形和监控的指标都是很全面的,如果你不想付费去使用,别想了,基本连snmp的监控方式都没有补充:如果想通过sflow监控设备的ip流量情况,nprobe可以实现,但是要付费,没付费的话,会限制流量个数,并且ntopng的内容都要付费展示Ntopng 使用 Redis 作为后端数据库来存储用户配置和首选项。Redis 必须在 ntopng 之前启动。
LINUX:懒汉单例模式线程池
最新发布
W2155的博客
07-16 437
创建一个线程,就是要这个线程去完成某种任务的。池化技术就是,提前创建一批线程,有任务这一批线程就会执行。而不是有任务的时候在去创建线程。池化技术有着更高的效率,因为线程都是提前创建好的,直接执行任务。
ndpi-splitter
11-11
ndpi-splitter是一个网络应用程序,用于拆分ndpi(开放式深度数据包检测库)生成的PCAP文件。ndpi是一种用于流量识别的开放式库,可以用来检测互联网流量中的各种应用程序和网络协议。 ndpi-splitter旨在帮助用户处理ndpi生成的较大的PCAP文件。在网络流量分析和应用识别等领域,使用ndpi进行数据分析非常有用。然而,由于生成的PCAP文件通常很大,在进行分析时可能导致资源消耗过多。 ndpi-splitter的作用就是将较大的PCAP文件拆分成较小的片段。这样,用户可以更容易地处理和分析这些文件片段,减少分析工作的负担。通过拆分PCAP文件,用户可以对单个文件进行更详细和深入的分析,提供更准确和详尽的结果。 ndpi-splitter具有简单易用的特点,用户只需将需要拆分的PCAP文件传递给程序,ndpi-splitter会自动将其拆分成指定大小的文件片段。用户还可以根据自己的需求设置拆分大小和输出文件的命名规则。拆分后的文件片段可以更方便地导入到其他分析工具中进行进一步分析,提高分析效率和精度。 总之,ndpi-splitter是一个实用的工具,可帮助用户处理和分析ndpi生成的大型PCAP文件。它提供了简单易用的功能,可以将文件拆分成更小的片段,使用户能够更轻松地进行网络流量分析和应用识别工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值