nDPI的DNS协议解析

最新推荐文章于 2022-12-06 17:57:15 发布
最新推荐文章于 2022-12-06 17:57:15 发布
阅读量3.9k 收藏 4
点赞数
分类专栏: 网络 文章标签: dns dpi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhijiayang/article/details/46638309
版权

nDPI的DNS协议解析

1. 说明

把nDpi的DNS协议解析部分拿出来看看,写了一些注释。使用的是nDpi的1.6版本,该版本下的文件结构比较简单,协议解析的代码都在 src/lib/protocols目录下。dns的解析代码自然就是dns.c了。nDpi的协议解析代码基本有着相同的结构,协议解析的入口函数一般定义为 ndpi_search_###。比如DNS的入口函数就是ndpi_search_dns()。

2. 工具函数

这个文件下还有几个简单的函数:
// 一个递归的函数来计算dns中域名字段占据报文的长度
static u_int getNameLength
//用来计算ip地址的,
static char* ndpi_intoa_v4
// 用报文中得到一个16字节的整数
static u_int16_t get16

3. 源代码注释

//  dns 的入口函数
void ndpi_search_dns(struct ndpi_detection_module_struct *ndpi_struct, struct ndpi_flow_struct *flow)
{
  struct ndpi_packet_struct *packet = &flow->packet;  // 定义包接口
  u_int16_t dport = 0, sport = 0;

#define NDPI_MAX_DNS_REQUESTS           16

  NDPI_LOG(NDPI_PROTOCOL_DNS, ndpi_struct, NDPI_LOG_DEBUG, "search DNS.\n");  // 打日志


  // 根据使用的是tcp还是udp,获取端口号
  if (packet->udp != NULL) {
    sport = ntohs(packet->udp->source),  dport = ntohs(packet->udp->dest);
    NDPI_LOG(NDPI_PROTOCOL_DNS, ndpi_struct, NDPI_LOG_DEBUG, "calculated dport over UDP.\n");
  } else  if(packet->tcp != NULL) {
    sport = ntohs(packet->tcp->source), dport = ntohs(packet->tcp->dest);
    NDPI_LOG(NDPI_PROTOCOL_DNS, ndpi_struct, NDPI_LOG_DEBUG, "calculated dport over tcp.\n");
  }
  // 如果端口包含53 可以确定为dns协议。否则退出整个函数。并且有数据内容。这个if一直到函数的结尾了
  if(((dport == 53) || (sport == 53) || (dport == 5355))
     && (packet->payload_packet_len > sizeof(struct dns_packet_header))) {



    int i = packet->tcp ? 2 : 0;  // 一般dns协议使用的是udp协议。DNS服务器之间才会使用tcp。如果是tcp协议的话,需要偏移两个字节,??为什么


    struct dns_packet_header header, *dns = (struct dns_packet_header*)&packet->payload[i];
    u_int8_t is_query, ret_code, is_dns = 0;
    u_int32_t a_record[NDPI_MAX_DNS_REQUESTS] = { 0 }, query_offset, num_a_records = 0;

    // 获取dns协议的头部,将网络字节序转换为本地字节序
    header.flags = ntohs(dns->flags);
    header.transaction_id = ntohs(dns->transaction_id);
    header.num_queries = ntohs(dns->num_queries);
    header.answer_rrs = ntohs(dns->answer_rrs);
    header.authority_rrs = ntohs(dns->authority_rrs);
    header.additional_rrs = ntohs(dns->additional_rrs);

    is_query = (header.flags & 0x8000) ? 0 : 1; // 从flags的第一位获取dns是查询报文还是响应报文

    ret_code = is_query ? 0 : (header.flags & 0x0F);  // 获取dns的flags字段的rcode,0表示没有差错,3表示名字差错(域名不存在)
    i += sizeof(struct dns_packet_header);   // 偏移值移动dns头部的长度
    query_offset = i; // 设置偏移值

    // 如果是一个查询报文
    if(is_query) {
      /* DNS Request */
      if((header.num_queries > 0) && (header.num_queries <= NDPI_MAX_DNS_REQUESTS)
     && (((header.flags & 0x2800) == 0x2800 /* Dynamic DNS Update */)
         || ((header.answer_rrs == 0) && (header.authority_rrs == 0)))) {
    /* This is a good query */ // dns 动态更新?开来查询报文分两种,一种是一般的dns请求,一种是dns服务器的动态更新。0x2800,opcode是5,不知道是什么


    is_dns = 1;
    if(header.num_queries > 0) { // 循环处理多个查询报文,并没有处理具体的查询内容,只是走了一个统计吗?

      while(i < packet->payload_packet_len) {

           if(packet->payload[i] == '\0') {
        i++;
        flow->protos.dns.query_type = get16(&i, packet->payload); // 获取了查询类型, flow的结构体是在是太强大了,好大。在ndpi_typedefs.h里定义的。
        break;
          } else
        i++;
        }
    }
      }
    }// 查询包处理结束

     else {  // 如果包是一个响应包
      /* DNS Reply */

      flow->server_id = flow->dst;

      if((header.num_queries <= NDPI_MAX_DNS_REQUESTS) /* Don't assume that num_queries must be zero */
     && (((header.answer_rrs > 0) && (header.answer_rrs <= NDPI_MAX_DNS_REQUESTS))
         || ((header.authority_rrs > 0) && (header.authority_rrs <= NDPI_MAX_DNS_REQUESTS))
         || ((header.additional_rrs > 0) && (header.additional_rrs <= NDPI_MAX_DNS_REQUESTS)))
     ) {
    /* This is a good reply */
    is_dns = 1;

    i++;

    // 越过查询问题字段的查询名称
    if(packet->payload[i] != '\0') {
      while((i < packet->payload_packet_len)
        && (packet->payload[i] != '\0')) {
        i++;
      }

      i++;
    }

    i += 4; // 越过查询问题字段的查询类型和查询类

    // 如果有回答报文,处理回答报文字段
    if(header.answer_rrs > 0) {
      u_int16_t rsp_type /*, rsp_class */;
      u_int16_t num;

      for(num = 0; num < header.answer_rrs; num++) { // 处理每一个回答报文
        u_int16_t data_len;

        if((i+6) >= packet->payload_packet_len) {  // 包长度的合理性判断
          break;
        }

        if((data_len = getNameLength(i, packet->payload, packet->payload_packet_len)) == 0) {  // 包合法性检查,看看包的回答字段的域名是否合理
          break;
        } else
          i += data_len;

        rsp_type = get16(&i, packet->payload);  // 得到第num个回答的查询类型
        // rsp_class = get16(&i, packet->payload);

        i += 4; // 这里应该是+8吧,要不下面的就不正确了,没有考虑生存时间字段的4个字节

        data_len = get16(&i, packet->payload);

        if((data_len <= 1) || (data_len > (packet->payload_packet_len-i))) {
          break;
        }

        flow->protos.dns.rsp_type = rsp_type;

        if(rsp_type == 1 /* A */) { // 如果是A类,那么就是一个4字节的ip地址
          if(data_len == 4) {
        u_int32_t v = ntohl(*((u_int32_t*)&packet->payload[i]));

        if(num_a_records < (NDPI_MAX_DNS_REQUESTS-1)) // 做记录
          a_record[num_a_records++] = v;
        else
          break; /* One record is enough */  // 明明是16个记录
          }
        }

        if(data_len == 0) {
          break;
        }

        i += data_len;
      } /* for */
    }
      } // 正确的响应包处理结束

      if((header.num_queries <= NDPI_MAX_DNS_REQUESTS) // 响应包的另外一种正确形式
     && ((header.answer_rrs == 0)
         || (header.authority_rrs == 0)
         || (header.additional_rrs == 0))
     && (ret_code != 0 /* 0 == OK */)
     ) {
    /* This is a good reply */
    is_dns = 1;
      }
    } //响应包处理结束

    if(is_dns) {
      int j = 0;

      flow->protos.dns.num_queries = (u_int8_t)header.num_queries, 
    flow->protos.dns.num_answers = (u_int8_t)(header.answer_rrs+header.authority_rrs+header.additional_rrs),
      flow->protos.dns.ret_code = ret_code;

      i = query_offset+1;

      // 下面是一些数据的统计功能了,全部放到flow里面。
      while((i < packet->payload_packet_len)
        && (j < (sizeof(flow->host_server_name)-1))   
        && (packet->payload[i] != '\0')) {
    flow->host_server_name[j] = tolower(packet->payload[i]);
    if(flow->host_server_name[j] < ' ')
      flow->host_server_name[j] = '.';  
    j++, i++;
      }

      if(a_record[0] != 0) {
    char a_buf[32];
    int i;

    for(i=0; i<num_a_records; i++) {
      j += snprintf((char*)&flow->host_server_name[j], sizeof(flow->host_server_name)-1-j, "%s%s",
            (i == 0) ? "@" : ";",
            ndpi_intoa_v4(a_record[i], a_buf, sizeof(a_buf)));
    }
      }

      flow->host_server_name[j] = '\0';

      if(j > 0) {
#ifdef DEBUG
    printf("==> %s\n", flow->host_server_name);
#endif

    if(ndpi_struct->match_dns_host_names)
      ndpi_match_string_subprotocol(ndpi_struct, flow, 
                    (char *)flow->host_server_name,
                    strlen((const char*)flow->host_server_name));
      }

      i++;

      memcpy(&flow->protos.dns.query_type, &packet->payload[i], 2); 
      flow->protos.dns.query_type  = ntohs(flow->protos.dns.query_type), i += 2;

      memcpy(&flow->protos.dns.query_class, &packet->payload[i], 2); 
      flow->protos.dns.query_class  = ntohs(flow->protos.dns.query_class), i += 2;

#ifdef DEBUG
      printf("%s [type=%04X][class=%04X]\n", flow->host_server_name, flow->protos.dns.query_type, flow->protos.dns.query_class);
#endif

      if(packet->detected_protocol_stack[0] == NDPI_PROTOCOL_UNKNOWN) {
    /* 
       Do not set the protocol with DNS if ndpi_match_string_subprotocol() has
       matched a subprotocol
    */
    NDPI_LOG(NDPI_PROTOCOL_DNS, ndpi_struct, NDPI_LOG_DEBUG, "found DNS.\n");      
    ndpi_int_add_connection(ndpi_struct, flow, (dport == 5355) ? NDPI_PROTOCOL_LLMNR : NDPI_PROTOCOL_DNS, NDPI_REAL_PROTOCOL);
      }
    } else {
      flow->protos.dns.bad_packet = 1;
      NDPI_LOG(NDPI_PROTOCOL_DNS, ndpi_struct, NDPI_LOG_DEBUG, "exclude DNS.\n");
      NDPI_ADD_PROTOCOL_TO_BITMASK(flow->excluded_protocol_bitmask, NDPI_PROTOCOL_DNS);
    }
  }
}
羊指甲
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nDPI流量协议分析(应用软件识别)
墨痕诉清风的博客
01-24 9312
1. 介绍 nDPI是一个从OpenDPI发展而来的DPI库,现在由ntop组织负责维护。 为了给你提供一个跨平台DPI的体验,nDPI除了支持Unix平台,还支持Windows(和Mac)。为了使nDPI更加适合应用于流量监控,我们将会持续进行优化,比如一旦发现存在对网络流量监控非必须的、却拖慢了DPI引擎的功能时,可以执行关闭。 不管使用了哪个端口,nDPI都可以探测到实际的应用层协议。...
nDPI – 快速入门指南(翻译自官方文档)
A_lber_t的博客
04-26 7921
(注:最近在学习ntop这个工具,其核心是nDPI这个库,关于这个库,官方有一个快速入门指南,不过肯定是英文的,我在阅读过程中,顺便翻译了一下,当然个人知识有限,翻译的有问题的地方,望留言指正,感谢。如果有疑问,建议访问官方文档地址:https://github.com/ntop/nDPI/blob/dev/doc/nDPI_QuickStartGuide.pdf) nDPI –快速入门指南 ...
协议的注册与维护——ndpi源码分析
GrubLinux的专栏
07-11 9760
在前面的文章中
新版nDPI开发自定义协议
Reddragon2010的博客
05-07 1121
一、前言 最近因项目需要用到nDPI采集流量进行报文深度检测,主要在nDPI基础上进行协议扩展,根据官网用户手册描述有两种方式支持协议扩展,在此通过nDPI示例程序ndpiReader进行展示。 在ndpiReader中增加自定义协议的方式如下: 1、是通过编辑example/protos.txt文件来使ndpiReader匹配相应的协议,但是这种的匹配条件有限,只能通过端口、host和IP地址来定义新协议。 2、通过在源码中注册自定义协议以及自己编写自定义协议的匹配逻辑,来自定义协议。这种方法需要编码,但
nDPI注册自定义协议解析
Acmery的小黑屋
07-26 1443
nDPI注册自定义协议解析前言方法一:修改protos.txt方法二:添加源码在头文件添加新的协议ID编写协议源文件做好相关定义编写ndpi_search函数编写dissector函数在ndpi_main.c中注册测试 前言 ​ 最近需要用到nDPI流量监测工具,由于其example中的ndpiReader已经十分强大,所以打算在ndpiReader的基础上增加可识别的自定义协议。 在ndpiReader中增加自定义协议的方式有两种: 是通过编辑example/protos.txt文件来使ndpiRead
DNS类IP地址的提取与查询
weixin_30454481的博客
03-28 219
using System.Net; //命名空间为当前网络上使用的多种协议提供了简单的编程接口.using System.IO; //命名空间包含允许在数据流和文件上进行同步和异步读取及写入的类型。using System.Threading; //命名空间主要是用来多线程序编程。//DNS类:在.net中的System.net命名空间下,主要的功能是从 Internet 域名系统 (DN...
NDPI 支持协议列表 代码
12-07
NDPI 支持协议列表 代码 定义文件
ndpi 最新版
04-15
centos7,官方网站下载的ndpi,Git clone https://github.com/ntop/nDPI
nDPI.tar.gz
12-26
知名的DPI开源软件,可识别各种协议如HTTPS,SMTP,POP3,hotmail,whatsapp等。
ndpiReader.rar_easierazo_futurewxf_ndpi
09-24
ndpi示例,供源码分析、实例演示等参考。。。。。。。。。
DNS协议解析源码程序
03-15
DNS协议解析源码程序,在识别dns协议基础上,解析dns中各信息。
C#的DNS协议完整实现代码【有默认DNS服务器实现哦~】
01-03
有简单的服务器和客户端的默认实现 还有一个简单的DNS代理服务器(有回调函数可以自己加缓存) 支持所有DNS协议报文格式
ndpi-odl:nDPI-OpenDaylight
05-30
nDPI能够识别超过400种应用协议,包括P2P、流媒体、即时通讯等,这使得网络管理员可以更深入地了解网络中的数据流向和使用情况。它的工作原理基于特征匹配,通过对网络数据包的载荷内容进行分析,来确定数据流所属的...
nDPI分析
热门推荐
lieye_leaves的专栏
12-17 2万+
nDPI分析 一.概述 nDPI是保持高度欢迎的OpenDPI,在GPL证书下发布,它的目标是增加新的协议,扩展原有的库;为了支持多平台的体验,它除了支持UNIX系列外,还支持windows版本;而且,可以改动nDPI来适配流量监控的应用,当网络流量不需要监控时,可以减掉nDPI的某些特性。 nDPI可检测应用层的协议,它可检测非标准端口,如非80端口的http协议;或者检测标准端口,如80
nDIP创建新的协议
weixin_42724706的博客
12-06 370
使用nDIP最新框架,编写协议监控demo
nDPI代码深度解析(二)
cjx1005的专栏
10-14 2047
进行业务识别,靠单纯的DPI,是难以识别出具体应用的,比如,QQ、微信、微博、Facebook等。采用什么手段进行识别呢?很容易想到,特定的应用往往具有特定的IP地址,域名,url等。事实上,基于这些信息进行应用识别,具有较高的准确率。nDPI的总体思路,可总结为:报文解析DPI识别协议类别 + 内容特征识别具体应用。我们走读nDPI代码,很容易便能印证我们的猜测: static ndpi_netw
DNS协议及客户端实现
weixin_33738982的博客
04-02 745
2019独角兽企业重金招聘Python工程师标准>>> ...
FTP深度包检测——ndpi源码分析
GrubLinux的专栏
08-05 8304
一、简介 二、分析hans
nDPI快速上手指南
coder
12-14 1万+
nDPI快速上手指南 这是一篇针对nDPI官方文档nDPI- Quick Start Guide的翻译,由于文档太老了(13年),所以部分接口已经发生了变化,本人将基于Version2.0对这些过时的接口进行更新。由于水平有限,翻译的、修补的内容不保证一定准确,各位最好上手之后对照源码细读一遍吧。 目录 1.介绍 ................................
dpdk抓包后通过nDPI识别协议,最后形成pcap包
最新发布
07-13
根据你提供的代码片段,可以看出你正在使用 `nDPI` 库对 `DPDK` 抓取的数据包进行协议识别,并将识别结果写入到新的 pcap 文件中。 在代码中,`$READER` 变量指向了一个文件路径,这个路径代表了 `nDPI` 库提供的用于读取和解析数据包的程序。 首先,脚本中的 `build_results` 函数遍历了指定目录中所有以 `.pcap` 扩展名结尾的文件(通过 `PCAPS` 变量保存文件名列表),并使用 `$READER` 执行命令对每个 pcap 文件进行处理。 命令 `$READER -q -i pcap/$f -w result/$f.out` 的含义如下: - `-q` 参数表示以静默模式运行,即不输出额外的信息。 - `-i pcap/$f` 参数指定要读取的 pcap 文件路径。 - `-w result/$f.out` 参数指定要写入的结果文件路径。 这个命令的作用是将输入的 pcap 文件通过 nDPI 库进行解析,并将识别结果写入到 `result/$f.out` 文件中。 接下来,`check_results` 函数对已经生成的结果文件进行检查。它使用相似的逻辑遍历 `PCAPS` 列表中的每个 pcap 文件: - 首先,检查对应的结果文件是否存在。 - 如果结果文件存在,首先执行命令 `$READER -q -i pcap/$f -w /tmp/reader.out`,将输入文件通过 nDPI 库处理,并将结果写入到临时文件 `/tmp/reader.out` 中。 - 接着,使用 `diff` 命令比较结果文件和临时文件的差异,使用 `wc -l` 命令统计差异行数,并将结果存储在 `NUM_DIFF` 变量中。 - 如果差异行数为 0,则打印 `"$f OK"` 表示结果一致。 - 否则,打印 `"$f ERROR"` 表示结果不一致,并打印执行的命令和差异的内容。 - 最后,删除临时文件 `/tmp/reader.out`。 整个脚本的目的是使用 `nDPI` 库对抓取的数据包进行协议识别,生成对应的结果文件,并在检查阶段验证识别结果是否正确。如果识别结果与期望结果不一致,则输出错误信息,并将退出状态码设为 1。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值