centos7的ntopng自定义

最新推荐文章于 2023-02-14 08:30:00 发布
最新推荐文章于 2023-02-14 08:30:00 发布
阅读量169 收藏
点赞数
分类专栏: Linux 文章标签: c++ 运维 服务器 centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41037945/article/details/110412323
版权

ntopng源码编译也是可以自定义一下的。
但是因为是c++的,不太好看。

总览

大致流程是

  • make uninstall
  • 修改源码
  • make
  • make install

分析源码,我觉得主要修改的函数是src/NetworkInterface.cpp中的dissectPacket函数,在注释那一段调用了processPacket处理数据包,因此可以在这里添加对于数据包的处理。

bool NetworkInterface::dissectPacket(const struct pcap_pkthdr *h,
				     const u_char *packet, bool *shaped,
				     u_int16_t *ndpiProtocol) {
	struct ndpi_ethhdr *ethernet, dummy_ethernet;
	u_int64_t time;
	static u_int64_t lasttime = 0;
	u_int16_t eth_type, ip_offset, vlan_id = 0, eth_offset = 0;
	u_int32_t null_type;
	int pcap_datalink_type = get_datalink();
	bool pass_verdict = true;
	......
    try {
		pass_verdict = processPacket(&h->ts, time, ethernet, vlan_id, iph,
				     ip6, h->caplen - ip_offset, h->len,
				     h, packet, shaped, ndpiProtocol);
		//*********************************** my code start ****************************************
		ntop->getTrace()->traceEvent(TRACE_NORMAL, "-------------------- normal -----------------------");
		//*********************************** my code end ****************************************
      } catch(std::bad_alloc& ba) {
		static bool oom_warning_sent = false;
		if(!oom_warning_sent) {
			ntop->getTrace()->traceEvent(TRACE_WARNING, "Not enough memory");
			oom_warning_sent = true;
		}
    }
    }
    break;
	......
	purgeIdle(last_pkt_rcvd);
	return(pass_verdict);
}

但是好像在processPacket函数里处理会更方便一点

bool NetworkInterface::processPacket(const struct bpf_timeval *when,
				     const u_int64_t time,
				     struct ndpi_ethhdr *eth,
				     u_int16_t vlan_id,
				     struct ndpi_iphdr *iph,
				     struct ndpi_ipv6hdr *ip6,
				     u_int16_t ipsize,
				     u_int16_t rawsize,
				     const struct pcap_pkthdr *h,
				     const u_char *packet,
				     bool *shaped,
				     u_int16_t *ndpiProtocol) {
	bool src2dst_direction;
	u_int8_t l4_proto;
	Flow *flow;
	u_int8_t *eth_src = eth->h_source, *eth_dst = eth->h_dest;
	IpAddress src_ip, dst_ip;
	u_int16_t src_port = 0, dst_port = 0, payload_len = 0;
	struct ndpi_tcphdr *tcph = NULL;
	struct ndpi_udphdr *udph = NULL;
	u_int16_t l4_packet_len;
	u_int8_t *l4, tcp_flags = 0, *payload = NULL;
	u_int8_t *ip;
	bool is_fragment = false, new_flow;
	bool pass_verdict = true;
	int a_shaper_id = DEFAULT_SHAPER_ID, b_shaper_id = DEFAULT_SHAPER_ID; /* Default */
	......
	//*********************************** my code start ****************************************
	ntop->getTrace()->traceEvent(TRACE_NORMAL, "");
	//*********************************** my code end ****************************************
	......    
    if(pass_verdict)
      incStats(when->tv_sec, iph ? ETHERTYPE_IP : ETHERTYPE_IPV6,
	       flow->get_detected_protocol().protocol,
	       rawsize, 1, 24 /* 8 Preamble + 4 CRC + 12 IFG */);

    bool dump_is_unknown = dump_unknown_traffic
      && (!flow->isDetectionCompleted() ||
	  flow->get_detected_protocol().protocol == NDPI_PROTOCOL_UNKNOWN);

    if(dump_is_unknown
       || dump_all_traffic
       || dump_security_packets
       || flow->dumpFlowTraffic()) {
      if(dump_to_disk) dumpPacketDisk(h, packet, dump_is_unknown ? UNKNOWN : GUI);
      if(dump_to_tap)  dumpPacketTap(h, packet, GUI);
    }

  } else
    incStats(when->tv_sec, iph ? ETHERTYPE_IP : ETHERTYPE_IPV6,
	     flow->get_detected_protocol().protocol,
	     rawsize, 1, 24 /* 8 Preamble + 4 CRC + 12 IFG */);

  return(pass_verdict);
}

细节

IpAddress Class

这里有结果结构体需要注意一下,比如现在的一个问题,是IpAddress这个类,这么定义的

struct ipAddress {
  u_int8_t ipVersion:3 /* Either 4 or 6 */, 
    localHost:1, privateIP:1, multicastIP:1, broadcastIP:1,
    notUsed:1 /* Future use */;

  union {
    struct ndpi_in6_addr ipv6;
    u_int32_t ipv4; /* Host byte code */
  } ipType;
};

/* **************************************** */

class IpAddress {
 private:
  struct ipAddress addr;
  u_int32_t ip_key;

  char* intoa(char* buf, u_short bufLen, u_int8_t bitmask);
  void checkIP();
  void compute_key();
  
 public:
  IpAddress();
  IpAddress(char *string);
  IpAddress(IpAddress *ip);
  IpAddress(u_int32_t _ipv4);
  IpAddress(struct ndpi_in6_addr *_ipv6);

  bool isEmpty();
  inline void reset()                                 { memset(&addr, 0, sizeof(addr));               }
  inline bool isIPv4()                                { return((addr.ipVersion == 4) ? true : false); }
  inline bool isIPv6()                                { return((addr.ipVersion == 6) ? true : false); }
  inline void set_ipv4(u_int32_t _ipv4)               { addr.ipVersion = 4, addr.ipType.ipv4 = _ipv4; compute_key(); }
  inline void set_ipv6(struct ndpi_in6_addr *_ipv6)   { addr.ipVersion = 6, memcpy(&addr.ipType.ipv6, _ipv6, sizeof(struct ndpi_in6_addr)); compute_key(); }
  inline u_int32_t get_ipv4()                         { return((addr.ipVersion == 4) ? addr.ipType.ipv4 : 0);     }
  inline struct ndpi_in6_addr* get_ipv6()             { return((addr.ipVersion == 6) ? &addr.ipType.ipv6 : NULL); }
  inline struct ipAddress* getIP()                    { return(&addr); };
  inline bool equal(u_int32_t ipv4_addr)              { if((addr.ipVersion == 4) && (addr.ipType.ipv4 == ipv4_addr)) return(true); else return(false); };
  inline bool equal(struct ndpi_in6_addr *ip6_addr)   { if((addr.ipVersion == 6) && (memcmp(&addr.ipType.ipv6, ip6_addr, sizeof(struct ndpi_in6_addr)) == 0)) return(true); else return(false); };
  inline bool equal(IpAddress *_ip)                   { return(this->compare(_ip) == 0); };

  void set_from_string(char *string);
  int compare(IpAddress *ip);
  inline u_int32_t key()                               { return(ip_key);         };
  void set(IpAddress *ip);
  inline bool isPrivateAddress()                       { return(addr.privateIP); };
  inline bool isMulticastAddress()                     { return(addr.multicastIP); };
  inline bool isBroadcastAddress()                     { return(addr.broadcastIP); };
  char* print(char *str, u_int str_len, u_int8_t bitmask = 0);
  bool isLocalHost(int16_t *network_id);
  bool isLocalInterfaceAddress();
  void deserialize(json_object *o);
  char* serialize();
  json_object* getJSONObject();
  bool match(patricia_tree_t *ptree);
  void* findAddress(patricia_tree_t *ptree);
};

这里主要看他的这个ipv4,是私有变量,所以得通过公共函数get_ipv4()调用。
然后可以看到这是一个u_int32_t类型的,它的返回值就是一个整型,如果想输出的话得用%d吧,我试了%d和%ld,一个好一个不好。
看下面的输出示例,后面的整型是%d前面的是%ld,前面就明显感觉怪怪的。

01/Dec/2020 15:48:33 [NetworkInterface.cpp:871] get a udp packet from br-ex Network from 139639896830578(176):13568 to 1744939200(0):56034
01/Dec/2020 15:48:33 [NetworkInterface.cpp:871] get a udp packet from br-ex Network from 139639896830578(176):13568 to 1744939200(0):56034
01/Dec/2020 15:48:33 [NetworkInterface.cpp:871] get a udp packet from br-ex Network from 139639896830578(176):13568 to 1744939200(0):61578
01/Dec/2020 15:48:33 [NetworkInterface.cpp:871] get a udp packet from br-ex Network from 16885952(176):4 to -1(255):35091
01/Dec/2020 15:48:34 [NetworkInterface.cpp:871] get a udp packet from br-ex Network from 139639721666752(0):20699 to 1920103026(176):13568
01/Dec/2020 15:48:34 [NetworkInterface.cpp:871] get a udp packet from eno16777736 Network from 139639721666752(0):31193 to 1920103026(176):13568

然后针对这个输出1920103026,试着把他转为IP地址。
先转为二进制1110010011100100111001001110010,但是发现只有31位,试着在前面补一个0,然后分段,就是01110010 01110010 01110010 01110010
再转为十进制114.114.114.114
这就是这个整型对应的IP地址了。

倒序

再试一下,1744939200,二进制为1101000000000011010100011000000,只有31位,也得补0。然后分段一下01101000 00000001 10101000 11000000,转为十进制是104.1.168.192
诶出现问题了,这个地址应该是192.168.1.104吧,所以说明这个东西他是反的,应该倒序一下。

参考链接

ntopng源码分析 - 丹西

BluePROT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ntopng-output-elasticsearch:用于Elasticsearch的ntopng模板
05-06
ntopng-输出-elasticsearch 描述 用于Elasticsearch的ntopng模板 用法: curl -XPUT localhost:9200/_template/ntopng_template --data @ntopng-es-template.json
centos7 编译ntopng源码
weixin_30653097的博客
03-30 243
先安装编译所需的开发工具 yum groupinstall ‘Development Tools’ yum install tcl yum install libpcap libpcap-devel yum install libgnomeui-devel(glib 安装 Linux平台下最常用的C语言函数库,它具有很好的可移植性和实用性。) 安装Redis: yum -y ...
c语言网络流量分析,精品架构透视:网络流量分析工具NTopng
weixin_34034295的博客
05-24 445
NTopng主要特性多协议网络流量;IPv4/IPv6活跃主机网络流量监控(RRD存储格式);基于nDPI实现应用协议发现作为NetFlow/sFlow 采集器(Cisco/ Juniper 路由器) ;交换机配合nProbe.效果图应用协议流量矩阵Ntopng 架构图NTopng架构图Libpcap网络数据包捕获函数包Sqlite轻型数据库,多语言支持(ntopng中应该是和pytho...
ntopng源码分析
weixin_30954607的博客
08-23 475
参数初始化以及ntop主流程启动 1 #ifndef WIN32 2 if((argc == 2) && (argv[1][0] != '-')) 3 rc = prefs->loadFromFile(argv[1]); 4 else 5 #endif //一般启动ntopng的命令: ntopng /etc/ntopng/ntopng...
CentOS6.5 安装ntopng-1.2.0
db5404的博客
08-28 84
0.准备工作   安装libpcap:最好源码安装。 yum install -y libpcap*   安装redis yum install -y redis* 1.安装 tar -zxvf ntopng cd ntopng ./autogen.sh ./configure makemake install 2.运行ntopng s...
Linux之网络流量监控工具ntopng源码编译安装
月生的静心苑
02-14 2168
Ntop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。Ntop甚至可以列出每个节点计算机的网络带宽利用率。他是一个灵活的、功能齐全的,用来监控和解决局域网问题的工具;尤其当ntop与nprobe配合使用,其功能更加显著。它同时提供命令行输入和web页面,可应用于嵌入式web服务。NTOP于2011年已经停止更新,NTOPNGNTOP的新一代版本,ntopng最新稳定版本是5.4。
linux nDPI 协议检测 源码分析
whatday的专栏
02-18 2179
关于nDPI的基本功能就不在这介绍了,有兴趣了解的读者可以阅读官方的快速入门指南:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf,也可以阅读我翻译过来的文章:NDPI快速入门指南(翻译自官方文档)。 nDPI是在OpenDPI基础上扩展的一个库,解决了Opendpi的许多问题,并且具有比较完善的应用层协议识别功...
局域网网络流量监控_Linux网络安全运维:网络流量监控与分析工具Ntop和Ntopng
weixin_39573781的博客
10-24 600
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network对于单台服务器网络故障的排查,iftop工具可以轻松实现,但是在监控一个庞大的服务器网络,并且要分析每台主机以及端口的网络状态时,iftop就显得爱莫能助了,这个...
使用nTopng
指甲的专栏
06-04 3324
nTopng瑞典的nTopng和我现在做的东西挺相似的,所以先在自己机器上安装了一个。是在网上搜索dpi找到的,先看到了opendpi,后来找到这家做的东西,刚更新了2.0,看起来还不错。
【NDPI】源码解析之深度包检测分析(一)
A_lber_t的博客
04-28 5036
(Albert、2019.4.28) 文章目录: 前言: 正文: 一、nDPI深度包检测流程: 二、重要结构体的源码分析 1、ndpi_ethdr、ndpi_iphdr、ndpi_tcphdr、ndpi_udphdr 2、ndpi_flow_struct 3、ndpi_packet_struct 4、ndpi_detection_module_struct 前言: 关于nDP...
nDPI源码的一点分析
noted2011的专栏
10-11 2734
ndpi是开源的深度包检测库。
ntopng:基于Web的流量和安全网络流量监控
02-02
ntopng 介绍 ntopng:registered:是在GPLv3下发布的基于Web的网络流量监视应用程序。 它是1998年编写的原始ntop的新形式,现在在性能,可用性和功能方面进行了改进。 虽然您可以在ntop网站( )上阅读有关ntopng的更多信息,但建议您开始阅读文件,以学习如何编译和使用ntopng。 如果您希望使用源代码包而不是源代码,请访问 我们为以下平台构建二进制软件包: Ubuntu Linux服务器x64 CentOS / RedHat Linux x64 Windows x64 RaspberryPI / BeagleBoard ARM(基于Ubuntu Linux) 请享用。 文献资料 如果您想了解有关ntopng的更多信息,请访问和。 细节 有关ntopng的更多信息,请访问 ntopng是在美国和欧盟的注册商标。
centos7封装自定义镜像且包含初始化脚本和一些常用软件合集
11-06
自己封装的自定义镜像在使用时可以节省很多时间,极大提升了工作效率。推荐大家试用
Centos7下安装MongoDB
08-24
Centos7下安装MongoDB
centos7离线安装vim
11-22
centos7离线安装vim
CentOS7.vmdk
06-15
CentOS7.vmdk
CentOS7添加自定义系统服务1
08-08
1、Unit部分Unit部分是启动顺序与依赖关系 2、Service部分Service部分定义如何启动/重启/停止服务 3、Install部分Install部分
Ubuntu 18.04下MPICH的安装、配置及使用
热门推荐
RBK的博客
06-08 1万+
文章目录常规安装下载mipch新建目录配置编译安装MPICH添加PATH测试1测试2测试3配置编译器问题单机和多机SSH单机多机测试单机多机参考链接安装配置MPICHsshOK,就这样吧,bye MPI是目前最重要的并行编程工具,它具有移植性好,功能强大,效率高等多种优点,而且有多种不同的免费,高效,实用的实现版本,几乎所有的并行计算机厂商都提供对它的支持,这是其它所有的并行编程环境都无法比拟的。...
Ubuntu中使用freeradius配置RADIUS,并在RADIUS中配置LDAP
RBK的博客
06-06 1万+
Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用远程访问拨号用户服务(Remote Authentication Dial In User Service,RADIUS)来实现AAA。RADIUS是一...
centos7自定义界面
最新发布
01-04
根据提供的引用内容,以下是在CentOS 7上自定义界面的步骤: 1. 点击设备界面中的Keyboard选项,进入键盘设置界面。 2. 在键盘设置界面中,滚动到底部,点击“+”按钮,添加自定义快捷键。 3. 在名称字段中输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值