新版nDPI开发自定义协议

最新推荐文章于 2024-03-22 09:34:14 发布
最新推荐文章于 2024-03-22 09:34:14 发布
阅读量1k 收藏 5
点赞数 2
分类专栏: linux nDPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/reddragon2010/article/details/116499348
版权
linux 同时被 2 个专栏收录
10 篇文章 2 订阅
订阅专栏
nDPI
1 篇文章 0 订阅
订阅专栏

一、前言
最近因项目需要用到nDPI采集流量进行报文深度检测,主要在nDPI基础上进行协议扩展,根据官网用户手册描述有两种方式支持协议扩展,在此通过nDPI示例程序ndpiReader进行展示。
在ndpiReader中增加自定义协议的方式如下:
1、是通过编辑example/protos.txt文件来使ndpiReader匹配相应的协议,但是这种的匹配条件有限,只能通过端口、host和IP地址来定义新协议。
2、通过在源码中注册自定义协议以及自己编写自定义协议的匹配逻辑,来自定义协议。这种方法需要编码,但是协议自定义匹配方式更为灵活。

二、开发自定义协议
1、修改protos.txt
此种方法网上介绍的资料很多,在此省略。
2、修改源码
以下说明基于nDPI 最新版本3.4版本中的源码添加自定义协议。为了方便说明,假设我们需要自定义的协议名字叫做ONEONEPROTOCOL。顾名思义,当应用层协议中的数据全为1,那么就认为这是ONEONEPROTOCOL协议。
详细步骤如下:
1)添加新的协议ID
首先,每一个协议都必须在头文件ndpi_protocol_ids.h中有一个对应的协议ID的定义,ID号数字不能随便写,需要在现有的ID编号后新增。

 // Reddragon
  NDPI_PROTOCOL_ONEONEPROTOCOL        = 254, /* all of the tcp payload is 1*/

2)编写协议源文件
在定义完协议ID后,我们必须在src/lib/protocols/文件夹中创建自定义协议的源文件:oneoneprotocol.c。该文件用来识别协议格式。

#include "ndpi_protocol_ids.h"
#define NDPI_CURRENT_PROTO NDPI_PROTOCOL_ONEONEPROTOCOL
#include "ndpi_api.h"

void ndpi_search_oneoneprotocol(struct ndpi_detection_module_struct *ndpi_struct, struct ndpi_flow_struct *flow) {
    struct ndpi_packet_struct *packet = &flow->packet;
    u_int nIndex = 0;
    u_int count = 0;
    u_int16_t dport = 0;
    
    NDPI_LOG_DBG(ndpi_struct, "search oneoneprotocol\n");
    printf("\n packet_len = %d\n", packet->payload_packet_len);
    
    while(nIndex < packet->payload_packet_len) {
        printf("\n nIndex = %d, payloadValue = %d \n", nIndex, packet->payload[nIndex]);
        if (packet->payload[nIndex] == 0x31){
            count++;
        }
        nIndex++;
    }

    if(count == packet->payload_packet_len){
        printf("\n count = %d, found oneoneprotocol \n", count);
        NDPI_LOG_INFO(ndpi_struct, "found oneoneprotocol\n");
        ndpi_set_detected_protocol(ndpi_struct, flow, NDPI_PROTOCOL_ONEONEPROTOCOL, NDPI_PROTOCOL_UNKNOWN);
        return;
    }

    NDPI_EXCLUDE_PROTO(ndpi_struct, flow);
}

void init_oneoneprotocol_dissector(struct ndpi_detection_module_struct *ndpi_struct, u_int32_t *id,
                             NDPI_PROTOCOL_BITMASK *detection_bitmask)
{
    ndpi_set_bitmask_protocol_detection(
        "oneoneprotocol", ndpi_struct, detection_bitmask, *id,
                                        NDPI_PROTOCOL_ONEONEPROTOCOL,
                                        ndpi_search_oneoneprotocol,
                                        NDPI_SELECTION_BITMASK_PROTOCOL_TCP_WITH_PAYLOAD,
                                        SAVE_DETECTION_BITMASK_AS_UNKNOWN,
                                        ADD_TO_DETECTION_BITMASK);
    *id += 1;
}

3)添加你的协议到nDPI
在ndpi_main.c中注册,依葫芦画瓢在1508行后面添加ndpi_set_proto_defaults函数。

        // oneoneprotocol
  ndpi_set_proto_defaults(ndpi_str, NDPI_PROTOCOL_ACCEPTABLE, NDPI_PROTOCOL_ONEONEPROTOCOL, 1 /* no subprotocol */,
        no_master,
        no_master, "ONEONEPROTOCOL", NDPI_PROTOCOL_CATEGORY_CHAT,
        ndpi_build_default_ports(ports_a, 0, 0, 0, 0, 0) /* TCP */,
        ndpi_build_default_ports(ports_b, 0, 0, 0, 0, 0) /* UDP */);

通过适当的宏并将他们设置到检测模块中来启用协议。在ndpi_set_protocol_detection_bitmask2函数3362行后面添加我们的函数:init_oneoneprotocol_dissector(ndpi_str, &a, detection_bitmask)。

  // ONEONEPROTOCOL
  init_oneoneprotocol_dissector(ndpi_str, &a, detection_bitmask);

4)完成
三、自测
在虚拟机linux上通过nc工具监听11011端口,windows通过NetAssist工具选择TCP Client连接到linux主机端口,发生数字111,ndpiReader抓包测试。测试结果如下图所示。
在这里插入图片描述

本文主要步骤参考如下链接,原文测试很多细节有误,特重新测试发布。详细介绍可参考原链接。
参考连接:
https://blog.csdn.net/ACMer_L/article/details/107594060

Reddragon2010
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ndpi新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
DPI — nDPI 开源的深度报文解析组件
深入浅出讲透复杂深奥的问题
08-21 1662
nDPI 官方网站: https://github.com/ntop/nDPI https://www.ntop.org/support/documentation/documentation/ https://www.ntop.org/products/deep-packet-inspection/ndpi/ https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf nDPI 从 OpenDPI 发展而来,是一款 C 语言开发的开
nDPI – 快速入门指南
weixin_42724706的博客
12-05 1606
nDpi学习专栏---官方说明
探索nDPI:网络流量检测与应用识别的利器
最新发布
gitblog_00091的博客
03-22 471
探索nDPI:网络流量检测与应用识别的利器 项目地址:https://gitcode.com/ntop/nDPI nDPI 是一个开源项目,由ntop组织开发,用于深度包检查(Deep Packet Inspection, DPI)和网络应用程序的实时识别。这个项目的目的是提供一种高效、灵活且可扩展的方式来监控和理解网络上的数据流行为。 项目简介 nDPI是一个C语言编写的库,它可以解码网络流量并...
nDPI的DNS协议解析
指甲的专栏
06-25 3899
nDPI的DNS协议解析1. 说明把nDpi的DNS协议解析部分拿出来看看,写了一些注释。使用的是nDpi的1.6版本,该版本下的文件结构比较简单,协议解析的代码都在 src/lib/protocols目录下。dns的解析代码自然就是dns.c了。nDpi协议解析代码基本有着相同的结构,协议解析的入口函数一般定义为 ndpi_search_###。比如DNS的入口函数就是ndpi_search_
nDIP创建新的协议
weixin_42724706的博客
12-06 356
使用nDIP最新框架,编写协议监控demo
nDPI – 快速入门指南(翻译自官方文档)
A_lber_t的博客
04-26 7730
(注:最近在学习ntop这个工具,其核心是nDPI这个库,关于这个库,官方有一个快速入门指南,不过肯定是英文的,我在阅读过程中,顺便翻译了一下,当然个人知识有限,翻译的有问题的地方,望留言指正,感谢。如果有疑问,建议访问官方文档地址:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf) nDPI –快速入门指南 ...
nDPI_Developing_base1.4:基于nDPI1.4二次开发为更适合中国网络协议环境的深度包检测框架
05-10
依存关系 的libtool 自动制作 自动配置 gcc && make rpmbuild [可选的] 如何建造 $ pushd nDPI $ autoheader $ aclocal $ autoconf $ autoreconf -ivf $ ./configure --enable-debug=yes # enable debug $ make # for nDPI $ popd $ make # for kernel module $ make install $ make test # simple test $ make rpm # build rpm package
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
nDPI.tar.gz
12-26
知名的DPI开源软件,可识别各种协议如HTTPS,SMTP,POP3,hotmail,whatsapp等。
ndpiReader.rar_easierazo_futurewxf_ndpi
09-24
ndpi示例,供源码分析、实例演示等参考。。。。。。。。。
统信服务器操作系统V20-系统操作
Reddragon2010的博客
06-07 5560
1、网络配置 root@uos:~# vi /etc/network/interfaces 2、版本信息查看 root@uos:~# cat /etc/os-version [Version] SystemName=UnionTech OS Server SystemName[zh_CN]=统信服务器操作系统 ProductType=Server ProductType[zh_CN]=服务器 EditionName=Enterprise EditionName[zh_CN]=企业版 MajorVe
达梦数据库导入csv文件
Reddragon2010的博客
07-15 3539
一、综述 csv文件数据可通过达梦数据库安装自带的dmfldr快速数据装载命令行工具进行导入。 二、前提 创建好需要导入的目标表。 三、dmfldr概述 dmfldr(DM Fast Loader)是 DM 提供的快速数据装载命令行工具。用户通过使用 dmfldr 工具能够把按照一定格式排序的文本数据以简单、快速、高效的方式载入到 DM 数 据库中,或把 DM 数据库中的数据按照一定格式写入文本文件。 详情可查看达梦官方发布的dmfldr使用手册.pdf。 四、实操示例 1、准备好需要导入的csv文件,我这
达梦数据库常用操作
Reddragon2010的博客
09-09 1984
1、常用功能及命令 前提,命令行登录: ./disql SYSDBA/SYSDBA 模式查询 SQL> select distinct owner from dba_objects; 获取当前模式名 SQL> select sys_context(‘userenv’, ‘current_schema’) from dual; 设置当前模式 SQL> set schema<模式名>; #只能设置到属于自己的模式。 用户查询 SQL> select username fr
shell 脚本计算时间差
Reddragon2010的博客
08-06 1768
脚本文件command.sh内容如下: #!/bin/sh echo "导出数据..." timer_start=`date "+%Y-%m-%d %H:%M:%S"` echo "开始时间:$timer_start" #测试命令-数据库备份 output=`mysqldump -uroot --all-databases --skip-comments > /data/all.sql` timer_end=`date "+%Y-%m-%d %H:%M:%S"` echo "结束时间:$timer_
yum 和 apt-get命令的对应关系
Reddragon2010的博客
05-20 928
一、概述 1、RedHat系列:Redhat、Centos、Fedora、银河麒麟等; 2、Debian系列:Debian、Ubuntu、UOS等。 RedHat 系列 1、 常见的安装包格式 rpm包,安装rpm包的命令是“rpm -参数” ; 2、 包管理工具 yum ; 3 、支持tar包。 Debian系列 1、常见的安装包格式 deb包,安装deb包的命令是“dpkg -参数” ; 2 、包管理工具 apt-get ; 3 、支持tar包。 tar 只是一种压缩文件格式,所以,它只是把文件压缩打包
RedHat系列系统 Clickhouse v18 源码编译安装
Reddragon2010的博客
06-23 743
下载源码 git clone -b v18.12.17-stable https://github.com/ClickHouse/ClickHouse.git 下载依赖 git依赖 cd Clickhouse sed -i 's/github.com/github.com.cnpmjs.org/g' .gitmodules # 更改下载地址,提高速度,如果连接github速度快可不改 git submodule sync # 将新的URL更新到.git/config git submo
centos7 通过 /etc/rc.local文件配置程序开机启动
Reddragon2010的博客
02-20 678
1、创建编辑程序启动脚本start.sh [root@localhost ~]# vi start.sh #start exe cd /usr/dragon/tedr ./server 2、编辑rc.local,执行start.sh脚本 [root@localhost ~]# vi rc.local touch /var/lock/subsys/local nohup sh /usr/dragon/tedr/start.sh > /dev/null 2&>1 & 注:
dpdk抓包后通过nDPI识别协议,最后形成pcap包
07-13
根据你提供的代码片段,可以看出你正在使用 `nDPI` 库对 `DPDK` 抓取的数据包进行协议识别,并将识别结果写入到新的 pcap 文件中。 在代码中,`$READER` 变量指向了一个文件路径,这个路径代表了 `nDPI` 库提供的用于读取和解析数据包的程序。 首先,脚本中的 `build_results` 函数遍历了指定目录中所有以 `.pcap` 扩展名结尾的文件(通过 `PCAPS` 变量保存文件名列表),并使用 `$READER` 执行命令对每个 pcap 文件进行处理。 命令 `$READER -q -i pcap/$f -w result/$f.out` 的含义如下: - `-q` 参数表示以静默模式运行,即不输出额外的信息。 - `-i pcap/$f` 参数指定要读取的 pcap 文件路径。 - `-w result/$f.out` 参数指定要写入的结果文件路径。 这个命令的作用是将输入的 pcap 文件通过 nDPI 库进行解析,并将识别结果写入到 `result/$f.out` 文件中。 接下来,`check_results` 函数对已经生成的结果文件进行检查。它使用相似的逻辑遍历 `PCAPS` 列表中的每个 pcap 文件: - 首先,检查对应的结果文件是否存在。 - 如果结果文件存在,首先执行命令 `$READER -q -i pcap/$f -w /tmp/reader.out`,将输入文件通过 nDPI 库处理,并将结果写入到临时文件 `/tmp/reader.out` 中。 - 接着,使用 `diff` 命令比较结果文件和临时文件的差异,使用 `wc -l` 命令统计差异行数,并将结果存储在 `NUM_DIFF` 变量中。 - 如果差异行数为 0,则打印 `"$f OK"` 表示结果一致。 - 否则,打印 `"$f ERROR"` 表示结果不一致,并打印执行的命令和差异的内容。 - 最后,删除临时文件 `/tmp/reader.out`。 整个脚本的目的是使用 `nDPI` 库对抓取的数据包进行协议识别,生成对应的结果文件,并在检查阶段验证识别结果是否正确。如果识别结果与期望结果不一致,则输出错误信息,并将退出状态码设为 1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值