nDPI是开源的深度包检测库,更详细的介绍,请参考nDPI 官网:http://www.ntop.org/products/ndpi/ 。
每种应用层协议的检测的流程:
ndpi_detection_process_packet -> check_ndpi_flow_func -> check_ndpi_tcp_flow_func(check_ndpi_udp_flow_func或check_ndpi_other_flow_func) -> ndpi_struct->callback_buffer_tcp_payload[a].func(ndpi_struct, flow)
ndpi_struct->callback_buffer_tcp_payload[a].func(ndpi_struct, flow) 就到了每个具体的协议检测,比如ndpi_search_http_tcp。
这里的赋值是通过调用ndpi_set_bitmask_protocol_detection给func赋值的。具体流程如下:
setupDetection -> ndpi_set_protocol_detection_bitmask2 -> ndpi_set_bitmask_protocol_detection
pcapReader的流程:
processing_thread -> runPcapLoop -> pcap_packet_callback -> packet_processing
flow的获取:
在packet_processing 获取得到的,
flow = get_ndpi_flow
ndpi_flow = flow->ndpi_flow
同一条流的判断:源地址,目的地址,源端口,目的端口,协议类型
idx = (lower_ip + upper_ip + iph->protocol + lower_port + upper_port) % NUM_ROOTS
每个包都会对应一条流,直至流的数量大于等于 200000000。
简单的说,首先抓包,再从数据链路层开始解析,一直解析到传输层是TCP或是UDP或是TCP和UDP都不是,最后才到应用层,到应用层只能依靠端口,分析包的内容来提取特征码等等来判断是何种协议类型。
参考文档:
http://blog.csdn.net/grublinux/article/details/31603915
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)