NDPI介绍和应用

于 2024-11-06 14:02:05 发布
阅读量1.5k 收藏 9
点赞数 22
分类专栏: NDPI应用介绍 文章标签: 网络 后端 服务器 c语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41167620/article/details/143568840
版权

NDPI (nDPI) 是一个开源的深度包检测(DPI)库,由意大利网络研究和监测公司 NetFilter 开发。nDPI 的主要功能是识别网络流量中的应用协议,nDPI 是一个库,可以很容易地集成到其他项目中。开发人员可以使用 nDPI 作为流量检测组件,将其嵌入到流量分析工具、防火墙或入侵检测系统中。nDPI 提供了简单易用的 API,方便开发者将其集成到现有的系统中。

nDPI 常用于以下场景:

  • 流量监控:企业或服务提供商可以使用 nDPI 监控网络中的流量,了解哪些应用协议占用了带宽,以便做出流量管理决策。
  • 网络安全:nDPI 可以帮助识别异常流量,例如特定协议的未授权使用,这在入侵检测和防火墙中非常有用。
  • 流量优化:通过识别协议类型,管理员可以对流量进行优先级分配或限速,从而优化网络资源使用。

一、源码编译

二、构成

NDPI提供了示例程序,实现对数据包的流量识别。位于工程根目录下的example文件夹下。程序启动包含

  • 配置文件(所有配置项在/doc下的configuration_parameters.md文件内说明)
  • 启动参数(详情见附录1 启动参数说明)
  • 可执行文件 ndpiReader

线程说明

包含两个线程

主线程(main):解析启动参数,解析配置文件内容

工作线程(调用ndpi lib api工作):包处理流程

三、主要接口说明

ndpi_init_detection_module

构造协议解析器,声明解析协议范围,主要用于加载和配置网络协议检测模块。它为协议分析过程做好准备,包括内存分配、配置设置和必要的数据加载。

返回值:struct ndpi_detection_module_struct

入参:struct ndpi_global_context *g_ctx   #入参一般为NULL,

功能说明:

设置ndpi功能接口

自定义日志回调接口

set_ndpi_debug_function(ndpi_str, (ndpi_debug_function_ptr) ndpi_debug_printf);

初始化ip 域名威胁资源

资源为威胁资源,dpi匹配到后会在统计信息分类中描述威胁详情

ndpi_init_ptree_ipv4(ndpi_str->protocols->v4, host_protocol_list);

ndpi_init_ptree_ipv6(ndpi_str, ndpi_str->protocols->v6, host_protocol_list_6);

ndpi_set_protocol_detection_bitmask2

设置位掩码来控制哪些协议应该被检测。通过这种方式,用户可以灵活配置 nDPI 协议检测模块,启用或禁用特定的协议检测

返回值:void

入参: ndpi_detection_module_struct 解析模块   协议位掩码

功能说明:

ndpi_finalize_initialization

完成 nDPI 初始化过程的最后步骤,完成自测

struct ndpi_proto ndpi_workflow_process_packet

包处理接口,

返回值:协议代号

入参:

struct ndpi_workflow * workflow:数据包分析工作流。该结构保存着流量分析的上下文,包括流的信息和状态。

const struct pcap_pkthdr *header:元数据包长

const u_char *packet:元数据

ndpi_risk *flow_risk :检测结果,安全风险评分或风险信息

struct ndpi_flow_info **flow):流相关信息

四、主要数据结构说明

五、应用-怎么在自己的项目中接入NDPI解析功能

相关库文件

libndpiReader.a(nDPI-dev/src/lib)  libndpi.a(nDPI-dev/example) -lm -lpcap

其中前两个在ndpi工程编译获得

相关头文件

nDPI-dev\src\include

将这个文件夹放在自己项目中 Makefile -I 包含这个目录

自定义的文件

ndpi_third.c()附录2c文件              ndpi_third.h附录3头文件

编辑用于适配ndpi处理的c文件和头文件,这两个文件放在项目中。注意在自己的Makefile中加入c的编译

源码中将ndpi 三方库的头文件“#include "ndpi_third.h"”插入

最低0.47元/天 解锁文章
nDPI流量协议分析(应用软件识别)
墨痕诉清风的博客
01-24 9652
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
DPI — nDPI — 安装部署与应用示例
烟云的计算
06-05 1794
目录 文章目录目录nDPI 的安装nDPI应用示例通过协议文件来扩展 nDPI 解析器处理 TLS 加密流量 nDPI 的安装 nDPI 支持在 Linux 平台运行,能够方便的将 nDPI 编译到 Linux Kernel 中,以便于使用 nDPI 开发高效的基于内核的模块。 apt-get install libpcap-dev build-essential git clone https://github.com/ntop/nDPI.git cd nDPI ./autogen.sh ./con
nDPI安装与入门笔记
qq_40379977的博客
02-17 1371
nDPI的安装与ndpiReader的初步使用
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
nDPI——快速入门指南(翻译官方文档)
The Matrix
10-17 4552
该翻译文档转载自:https://blog.csdn.net/A_lber_t/article/details/89552332,我自己做了一些修改 官方文档(英文版)链接:https://github.com/ntop/nDPI/tree/3.0-stable/doc 目录 1. nDPI介绍 1.1 下载源 2. nDPI库 2.1 编译nDPI源码 2.2 编译示例n...
nDPI – 快速入门指南
weixin_42724706的博客
12-05 2391
nDpi学习专栏---官方说明
nDPI快速上手指南
coder
12-14 1万+
nDPI快速上手指南 这是一篇针对nDPI官方文档nDPI- Quick Start Guide的翻译,由于文档太老了(13年),所以部分接口已经发生了变化,本人将基于Version2.0对这些过时的接口进行更新。由于水平有限,翻译的、修补的内容不保证一定准确,各位最好上手之后对照源码细读一遍吧。 目录 1.介绍 ................................
nDPI学习参考资料
weixin_42724706的博客
12-07 361
nDPi 学习参考资料
ndpi-odl:nDPI-OpenDaylight
05-30
【标题】"ndpi-odl:nDPI-OpenDaylight" 涉及到的主要技术是nDPI(Next Generation Deep Packet Inspection)与OpenDaylight,两者在网络安全网络管理领域有着重要的应用。 【nDPI技术详解】 nDPI是由OpenDNS公司...
ndpi-lua: 探索 Lua 中 nDPI 库的应用及深度包检测
Lua 是一种轻量级的脚本语言,它经常用于嵌入到应用程序中提供灵活的扩展定制功能。 3. **深度包检测(nDPI)库**:深度包检测(DPI)技术能够分析网络流量的深层内容。nDPI 是一个开源的深度包检测库,它使用 C ...
nDPI:开源深度数据包检测软件工具包
03-09
nDPI 什么是nDPInDPI:registered:是用于深度数据包检查的开源LGPLv3库。 基于OpenDPI,它包含ntop扩展。 我们试图将它们推送到OpenDPI源代码树中,但是没有人回复电子邮件,因此我们决定创建自己的源代码树 如何编译nDPI 为了编译这个库 ./autogen.sh 。/配置 制作 要运行测试,请另外执行以下操作: cd测试; ./do.sh 请注意,编译的先决条件包括: GNU工具(autogen,automake,autoconf,libtool) GNU C编译器(gcc) 在Debian / Ubuntu系统上,请执行以下操作: 须藤apt-get install build-essential git bison flex libpcap-dev libtool libtool-bin autoconf pkg-config automake
Ndpi测试用例
SHELLCODE_8BIT的博客
04-23 168
1.只允许IP:PORT:协议指定协议访问指定IP:PORT:协议。2.不同协议测试,是否能够检出。
xplico中使用ndpi进行协议识别
3-Number
06-22 3098
0x01 缘由 有人通过github找我了解xplico,一直没有好好解答他的问题,于是想着手写这么一篇简单文章。 0x02 介绍 做协议识别:1、特征码        2、端口       3、正则 详细介绍,传送:http://www.sdnlab.com/17449.html 0x03 xplico的使用 在tTcp_garbage.c \Udp_analysis.c 中使用
协议的注册与维护——ndpi源码分析
GrubLinux的专栏
07-11 9992
在前面的文章中
NDPI的分析
yuan08shandong的博客
12-10 5058
简单的说,首先抓包,再从数据链路层开始解析,一直解析到传输层是TCP或是UDP或是TCPUDP都不是,最后才到应用层,到应用层只能依靠端口,分析包的内容来提取特征码等等来判断是何种协议类型。 一、     重要的数据结构 1、        整个pcap包的信息 struct reader_thread {   struct ndpi_detection_module_struct*nd
linux(CentOS)下nDPI安装及相关说明
vgv6411541的博客
07-11 695
协议分类统计(这部分将流量分类为不同的类别,如 "Safe"(安全)、"Acceptable"(可接受)、"Fun"(娱乐)、"Dangerous"(危险) "Unrated"(未评级),并统计每个类别的数据包数、字节数流量数。检测到的协议(这部分列出了检测到的各种协议及其对应的数据包数、字节数流量数。流量统计(这部分展示了捕获的流量统计,包括以太网字节数、丢弃的字节数、IP 数据包数、TCP UDP 数据包数等。-v 2:非常详细的模式,打印每个流的详细信息。-v 3:打印端口统计信息。
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDPI - Quick Start Guide
lieye_leaves的专栏
11-04 2328
nDPI - Quick Start Guide Open and Extensible LGPLv3 Deep Packet Inspection Library                                         Version 1.6 July 2015       ©2011-15
nDPI -- 开源深度包检测库
最新发布
qq_37921827的博客
08-25 634
传统的流量分析仅限于数据包头部,通过传输协议应用程序端口识别应用程序协议。许多应用程序协议在开发时会遵循某些标准端口的分配。例如,SMTP使用TCP协议端口25,Telnet使用TCP协议端口23。这些协议端口的关联在Unix系统下的/etc/protocols文件中明确指定。在RPC出现之前,许多网络服务使用静态端口分配,即每个服务都有一个固定的端口号。随着服务数量的增加,固定的端口号可能会被耗尽。且静态端口分配缺乏灵活性,难以适应动态变化的网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

强壮的向阳花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值