新版nDPI开发自定义协议

最新推荐文章于 2024-10-11 08:12:11 发布
最新推荐文章于 2024-10-11 08:12:11 发布
阅读量1.2k 收藏 5
点赞数 2
分类专栏: linux nDPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reddragon2010/article/details/116499348
版权
linux 同时被 2 个专栏收录
10 篇文章 2 订阅
订阅专栏
nDPI
1 篇文章 0 订阅
订阅专栏

一、前言
最近因项目需要用到nDPI采集流量进行报文深度检测,主要在nDPI基础上进行协议扩展,根据官网用户手册描述有两种方式支持协议扩展,在此通过nDPI示例程序ndpiReader进行展示。
在ndpiReader中增加自定义协议的方式如下:
1、是通过编辑example/protos.txt文件来使ndpiReader匹配相应的协议,但是这种的匹配条件有限,只能通过端口、host和IP地址来定义新协议。
2、通过在源码中注册自定义协议以及自己编写自定义协议的匹配逻辑,来自定义协议。这种方法需要编码,但是协议自定义匹配方式更为灵活。

二、开发自定义协议
1、修改protos.txt
此种方法网上介绍的资料很多,在此省略。
2、修改源码
以下说明基于nDPI 最新版本3.4版本中的源码添加自定义协议。为了方便说明,假设我们需要自定义的协议名字叫做ONEONEPROTOCOL。顾名思义,当应用层协议中的数据全为1,那么就认为这是ONEONEPROTOCOL协议。
详细步骤如下:
1)添加新的协议ID
首先,每一个协议都必须在头文件ndpi_protocol_ids.h中有一个对应的协议ID的定义,ID号数字不能随便写,需要在现有的ID编号后新增。

 // Reddragon
  NDPI_PROTOCOL_ONEONEPROTOCOL        = 254, /* all of the tcp payload is 1*/

2)编写协议源文件
在定义完协议ID后,我们必须在src/lib/protocols/文件夹中创建自定义协议的源文件:oneoneprotocol.c。该文件用来识别协议格式。

#include "ndpi_protocol_ids.h"
#define NDPI_CURRENT_PROTO NDPI_PROTOCOL_ONEONEPROTOCOL
#include "ndpi_api.h"

void ndpi_search_oneoneprotocol(struct ndpi_detection_module_struct *ndpi_struct, struct ndpi_flow_struct *flow) {
    struct ndpi_packet_struct *packet = &flow->packet;
    u_int nIndex = 0;
    u_int count = 0;
    u_int16_t dport = 0;
    
    NDPI_LOG_DBG(ndpi_struct, "search oneoneprotocol\n");
    printf("\n packet_len = %d\n", packet->payload_packet_len);
    
    while(nIndex < packet->payload_packet_len) {
        printf("\n nIndex = %d, payloadValue = %d \n", nIndex, packet->payload[nIndex]);
        if (packet->payload[nIndex] == 0x31){
            count++;
        }
        nIndex++;
    }

    if(count == packet->payload_packet_len){
        printf("\n count = %d, found oneoneprotocol \n", count);
        NDPI_LOG_INFO(ndpi_struct, "found oneoneprotocol\n");
        ndpi_set_detected_protocol(ndpi_struct, flow, NDPI_PROTOCOL_ONEONEPROTOCOL, NDPI_PROTOCOL_UNKNOWN);
        return;
    }

    NDPI_EXCLUDE_PROTO(ndpi_struct, flow);
}

void init_oneoneprotocol_dissector(struct ndpi_detection_module_struct *ndpi_struct, u_int32_t *id,
                             NDPI_PROTOCOL_BITMASK *detection_bitmask)
{
    ndpi_set_bitmask_protocol_detection(
        "oneoneprotocol", ndpi_struct, detection_bitmask, *id,
                                        NDPI_PROTOCOL_ONEONEPROTOCOL,
                                        ndpi_search_oneoneprotocol,
                                        NDPI_SELECTION_BITMASK_PROTOCOL_TCP_WITH_PAYLOAD,
                                        SAVE_DETECTION_BITMASK_AS_UNKNOWN,
                                        ADD_TO_DETECTION_BITMASK);
    *id += 1;
}

3)添加你的协议到nDPI
在ndpi_main.c中注册,依葫芦画瓢在1508行后面添加ndpi_set_proto_defaults函数。

        // oneoneprotocol
  ndpi_set_proto_defaults(ndpi_str, NDPI_PROTOCOL_ACCEPTABLE, NDPI_PROTOCOL_ONEONEPROTOCOL, 1 /* no subprotocol */,
        no_master,
        no_master, "ONEONEPROTOCOL", NDPI_PROTOCOL_CATEGORY_CHAT,
        ndpi_build_default_ports(ports_a, 0, 0, 0, 0, 0) /* TCP */,
        ndpi_build_default_ports(ports_b, 0, 0, 0, 0, 0) /* UDP */);

通过适当的宏并将他们设置到检测模块中来启用协议。在ndpi_set_protocol_detection_bitmask2函数3362行后面添加我们的函数:init_oneoneprotocol_dissector(ndpi_str, &a, detection_bitmask)。

  // ONEONEPROTOCOL
  init_oneoneprotocol_dissector(ndpi_str, &a, detection_bitmask);

4)完成
三、自测
在虚拟机linux上通过nc工具监听11011端口,windows通过NetAssist工具选择TCP Client连接到linux主机端口,发生数字111,ndpiReader抓包测试。测试结果如下图所示。
在这里插入图片描述

本文主要步骤参考如下链接,原文测试很多细节有误,特重新测试发布。详细介绍可参考原链接。
参考连接:
https://blog.csdn.net/ACMer_L/article/details/107594060

Reddragon2010
关注
专栏目录
nDPI流量协议分析(应用软件识别)
墨痕诉清风的博客
01-24 9443
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(和Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
nDIP创建新的协议
weixin_42724706的博客
12-06 434
使用nDIP最新框架,编写协议监控demo
nDPI的DNS协议解析
指甲的专栏
06-25 3987
nDPI的DNS协议解析1. 说明把nDpi的DNS协议解析部分拿出来看看,写了一些注释。使用的是nDpi的1.6版本,该版本下的文件结构比较简单,协议解析的代码都在 src/lib/protocols目录下。dns的解析代码自然就是dns.c了。nDpi协议解析代码基本有着相同的结构,协议解析的入口函数一般定义为 ndpi_search_###。比如DNS的入口函数就是ndpi_search_
ndpi工作流程
热门推荐
呜呜哈的博客
11-30 1万+
这里以ndpi的例程ndpiReader.c为例,讲述一下ndpi从抓包到最终分析出具体协议的流程。简单来讲ndpi是从下层开始逐层向上对数据包进行分析的。 先上一发自己画的流程图 这张图是我在最开始看ndpi源码的时候做的流程图,还不是非常的清楚和正确,就连函数的调用关系也只是按先后顺序画的,现在看起来真是有点low,不过也大致说明了一些问题,也就懒得修改了。我会在接下来的文章中说明。这里如果
nDPI 项目使用教程
最新发布
gitblog_01176的博客
10-11 274
nDPI 项目使用教程 nDPI Open Source Deep Packet Inspection Software Toolkit 项目地址: https://gitcode.com/gh_mirrors/ndp/nDPI ...
ndpi新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
nDPI注册自定义协议解析
Acmery的小黑屋
07-26 1529
nDPI注册自定义协议解析前言方法一:修改protos.txt方法二:添加源码在头文件添加新的协议ID编写协议源文件做好相关定义编写ndpi_search函数编写dissector函数在ndpi_main.c中注册测试 前言 ​ 最近需要用到nDPI流量监测工具,由于其example中的ndpiReader已经十分强大,所以打算在ndpiReader的基础上增加可识别的自定义协议。 在ndpiReader中增加自定义协议的方式有两种: 是通过编辑example/protos.txt文件来使ndpiRead
nDPI – 快速入门指南(翻译自官方文档)
A_lber_t的博客
04-26 8511
(注:最近在学习ntop这个工具,其核心是nDPI这个库,关于这个库,官方有一个快速入门指南,不过肯定是英文的,我在阅读过程中,顺便翻译了一下,当然个人知识有限,翻译的有问题的地方,望留言指正,感谢。如果有疑问,建议访问官方文档地址:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf) nDPI –快速入门指南 ...
nDPI_Developing_base1.4:基于nDPI1.4二次开发为更适合中国网络协议环境的深度包检测框架
05-10
依存关系 的libtool 自动制作 自动配置 gcc && make rpmbuild [可选的] 如何建造 $ pushd nDPI $ autoheader $ aclocal $ autoconf $ autoreconf -ivf $ ./configure --enable-debug=yes # enable debug $ make # for nDPI $ popd $ make # for kernel module $ make install $ make test # simple test $ make rpm # build rpm package
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
nDPI – 快速入门指南
weixin_42724706的博客
12-05 2157
nDpi学习专栏---官方说明
ndpireader-sa:nDPI阅读器独立
05-11
ntop的nDPI库的nDPI阅读器(独立) 要求 nDPI来源( ) 建造 make 测试 ./ndpiReader -i /path/to/file.pcap
深度包检测引擎研究
02-25
深度包检测引擎研究,一片研究所论文,写的不错,免费给大家下载
ntopng、nprobe和ndpi基础
qq_36767911的博客
12-01 1365
ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。
nDPI快速上手指南
coder
12-14 1万+
nDPI快速上手指南 这是一篇针对nDPI官方文档nDPI- Quick Start Guide的翻译,由于文档太老了(13年),所以部分接口已经发生了变化,本人将基于Version2.0对这些过时的接口进行更新。由于水平有限,翻译的、修补的内容不保证一定准确,各位最好上手之后对照源码细读一遍吧。 目录 1.介绍 ................................
【智能路由器】ndpi深度报文分析源码框架
图像、视频、算法、Linux
09-17 7162
ndpi是在opendpi的基础上编写而来的协议分析工具。源代码编译后生成两个部分,一个是内核层的xt_ndpi.ko模块,用来实时分析流量,另一个是应用层的lib库,给ndpiReader这个工具提供库,用来分析抓包工具提供的文件。 开发者必须为其想要分析的app的流量 对应开发一个 协议分析器,ndpi已经提供了很多现成的协议分析器,如http,QQ,twitter,vmware,yahoo
Ndpi测试用例
SHELLCODE_8BIT的博客
04-23 145
1.只允许IP:PORT:协议指定协议访问指定IP:PORT:协议。2.不同协议测试,是否能够检出。
【NDPI】源码解析之深度包检测分析(二)
A_lber_t的博客
04-29 2679
(Albert 2019.4.29) 目录 一、前言 二、ndpi_api.h源代码分析及注释 一、前言 在分析一些工具或者库的源码时,我们不妨先看看它的API文档,但是在nDPI的快速入门指南中,API文档只有少数的一些函数。但是在nDPI的src/include文件夹中,有一个头文件“ndpi_api.h”,里面声明了非常多的函数。在我们分析其流程之前,可以先分析浏览一下这个头文...
使用nDPI和ntopng监控工业IoT / Scada流量
虹科网络安全的博客
10-30 650
简介 目前,大多数流量监控工具都是为Internet协议设计的,因此监控工业网络流量如IoT和SCADA流量面临挑战。其中一个重要原因就是工业网络所用的协议与Internet网络协议的不同,现有的流量监控工具无法对检测工业网络中的专有协议。 工业网络流量监控的现状 随着工业网络规模日渐增长,对工业网络流量的监控也变得加重要。工程师需要及时的了解到网络流量特征以及网络的运行情况以便及时解决网络故障。近年来,对于Internet网络的流量监控技术和工具迅速发展,然而对于工业网络流量的监控方面却少有提及。 由于现
NDPI识别modbus协议
08-22
NDPI (Network Discovery Protocol Inspection) 是一种网络协议识别技术,它通过深度包检测(Deep Packet Inspection)来快速识别数据包所属的协议类型。对于Modbus协议,这是一种工业通信标准,主要用于设备之间的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值