2. 程式人生 > >xplico中使用ndpi進行協議識別

xplico中使用ndpi進行協議識別

阿新 發佈:2019-02-02

0x01 緣由

有人通過github找我瞭解xplico,一直沒有好好解答他的問題,於是想著手寫這麼一篇簡單文章。

0x02 介紹

做協議識別:1、特徵碼 

      2、埠

      3、正則

詳細介紹,傳送:http://www.sdnlab.com/17449.html

0x03 xplico的使用

在tTcp_garbage.c \Udp_analysis.c 中使用,一般是將tcp層資料傳給ndpi,使用是要在配置檔案中進行配置;

/* nDPI library */
#include "ndpi_main.h"
#include "ndpi_api.h"
....
....

//申請記憶體
static void *nDPImalloc(unsigned long size)
{
    return malloc(size);
}

//釋放記憶體
static void nDPIfree(void *freeable)
{
    free(freeable);
}


static void nDPIPrintf(u_int32_t protocol, void *id_struct, ndpi_log_level_t log_level, const char *format, ...)
{
    return;
}

//匹配
static ndpi_protocol nDPIPacket(packet *pkt, struct ndpi_flow_struct *l7flow, struct ndpi_id_struct *l7src, struct ndpi_id_struct *l7dst, bool ipv4)
{
    void *data;
    size_t offset, size;
    ftval voffset;
    const pstack_f *ip;
    unsigned long when;
    ndpi_protocol l7prot_id;

    if (ipv4) {
        ip = ProtStackSearchProt(pkt->stk, ip_id);
        ProtGetAttr(ip, ip_offset_id, &voffset);
        offset = voffset.uint32;
        data = pkt->raw + offset;
        size = pkt->raw_len - offset;
    }
    else {
        ip = ProtStackSearchProt(pkt->stk, ipv6_id);
        ProtGetAttr(ip, ipv6_offset_id, &voffset);
        offset = voffset.uint32;
        data = pkt->raw + offset;
        size = pkt->raw_len - offset;
    }
    when = pkt->cap_sec;
    when = when * NDPI_TICK_RES;
    when += pkt->cap_usec/1000;  /* (1000000 / NDPI_TICK_RES) */
    pthread_mutex_lock(&ndpi_mux);
      /**
   * Processes one packet and returns the ID of the detected protocol.
   * This is the MAIN PACKET PROCESSING FUNCTION.
   *
   * @par    ndpi_struct   = the detection module
   * @par    flow          = pointer to the connection state machine
   * @par    packet        = unsigned char pointer to the Layer 3 (IP header)
   * @par    packetlen     = the length of the packet
   * @par    current_tick  = the current timestamp for the packet
   * @par    src           = pointer to the source subscriber state machine
   * @par    dst           = pointer to the destination subscriber state machine
   * @return the detected ID of the protocol
   *
   */
    l7prot_id = ndpi_detection_process_packet(ndpi, l7flow, data, size, when, l7src, l7dst);
    pthread_mutex_unlock(&ndpi_mux);

    return l7prot_id;
}

packet *TcpGrbDissector(int flow_id)
{
    char *l7prot_type;
    struct ndpi_flow_struct *l7flow;
    struct ndpi_id_struct *l7src, *l7dst;
    ndpi_protocol l7prot_id
    ....
    ....
    if (stage != 4 && (l7prot_type == NULL || l7prot_id.master_protocol == NDPI_PROTOCOL_HTTP) && l7flow != NULL) {
        if (TcpGrbClientPkt(priv, pkt)) {
        		//做匹配
            l7prot_id = nDPIPacket(pkt, l7flow, l7src, l7dst, ipv4);
        }
        else {
            l7prot_id = nDPIPacket(pkt, l7flow, l7dst, l7src, ipv4);
        }
        if (l7prot_id.protocol != NDPI_PROTOCOL_UNKNOWN) {
            stage++;
            //根據id獲取名字
            l7prot_type = ndpi_protocol2name(ndpi, l7prot_id, buff, TCP_CFG_LINE_MAX_SIZE);
        }
    }
    ....
    ....
}
int DissectInit(void)
{
    char tmp_dir[256];
    unsigned short i;
    /*協議掩碼*/
    NDPI_PROTOCOL_BITMASK all;

    ....
    ....
    
    /* ndpi */
    pthread_mutex_init(&ndpi_mux, NULL);
    /*初始化,返回一個初始化檢測模組*/
    ndpi = ndpi_init_detection_module(NDPI_TICK_RES, nDPImalloc, nDPIfree, nDPIPrintf);
    if (ndpi == NULL) {
        LogPrintf(LV_ERROR, "nDPi initializzation failed");

        return -1;
    }
    /* enable all protocols */
    NDPI_BITMASK_SET_ALL(all);
    //設定協議掩碼
    ndpi_set_protocol_detection_bitmask2(ndpi, &all);
    //得到id結構的大小,用於動態申請ndpi_id_struct
    ndpi_proto_size = ndpi_detection_get_sizeof_ndpi_id_struct();
    //得到flow結構的大小,用於動態申請ndpi_flow_struct
    ndpi_flow_struct_size = ndpi_detection_get_sizeof_ndpi_flow_struct();

    return 0;
}

0x04 xplico中的使用例子

./xplico -l -c ./config/xplico_dpi.cfg -m pcap -f eyou.pcap

輸出結果:

13:59:00 [tcp-grb]{9969}-DEBUG: 	DST: 172.16.2.54:56051
l7prot_type HTTP //新增的輸出
13:59:00 [tcp-grb]{9969}-DEBUG: TCP->HTTP garbage... bye bye  fid:9969 count:2
13:59:00 [tcp-grb]{9966}-DEBUG: TCP->Unknown garbage... bye bye  fid:9966 count:2
13:59:00 [udp-grb]{9958}-DEBUG: 	DST: 239.255.255.250:1900
l7prot_type HTTP 
13:59:00 [tcp-grb]{9894}-DEBUG: TCP->HTTP garbage... bye bye  fid:9894 count:103

相關推薦

xplico使用ndpi進行協議識別

0x01 緣由 有人通過github找我瞭解xplico,一直沒有好好解答他的問題,於是想著手寫這麼一篇簡單文章。 0x02 介紹 做協議識別:1、特徵碼        2、埠       3、正則 詳細介紹,傳送:http://www.sdnlab.com/17449.h

Eclipse如何進行新文件類型(File types)的關聯識別

但是 .com 保存 繼續 height file src images pes 這段時間,由於項目需要,采用.btl文件類型代替.jsp文件類型進行前後端的頁面交互,但是eclipse又不能識別.btl文件類型。所以需要進行如下操作: 1.Window ->Pre

C#用Tesseract進行OCR識別,可識別英日韓所有語言

原始碼下載:https://download.csdn.net/download/horseroll/10739546    原始碼下包含部分語言包,所以檔案比較大 先上效果圖。測試中文英文日語識別,其他語言也都行,只要下載相應的語言包,操作使用後面都有講 1

在迅捷OCR文字識別軟體怎麼進行圖片區域性識別

  怎麼進行圖片區域性識別呢?我們在觀看一些圖片的時候,有些圖片上的文字我們會需要將區域性文字識別提取出來,但是如何去識別呢,藉助圖片文字識別軟體就可以幫助實現了,下面為大家講解下具體的操作方法。   使用工具:迅捷OCR文字識別軟體。   1:先在電腦中將需要使用到的文字識別軟體下載裝好,接著儲存一張我

在迅捷OCR文字識別軟件怎麽進行票證識別

bee 沒有 設置 跳轉 方法 部分 自動跳轉 文件 .com 隨著信息時代的發展,生活中經常會遇到識別票證的時候,那這個時候你會用到什麽方法呢?是不是還有一部分人不知道票證怎麽識別,沒有關系,下面小編就在文字識別軟件中為大家演示下具體的操作方法。   使用工具:迅捷OCR

使用TensorFlow進行訓練識別視訊影象物體

本教程針對Windows10實現谷歌公佈的TensorFlow Object Detection

在Hololens使用Vuforia 進行物體識別入門

Vuforia 的更新算是很快的,包括微軟最新的AR眼鏡的支援,除了釋出Vuforia sdk之外,還提供了好幾個hololens unity開發示例。 Vuforia在6.1版本的Unity SDK裡實現了對HoloLens的支援. 檢視 Developing fo

android利用opencv進行影象識別

之前開發的時候老大讓研究下影象識別的功能,同事推薦看看opencv,發現對於移動端來說opencv的資料和demo都比較少,現在整理下之前的工作成果。 首先是進行配置工作,先匯入opencv的一個程式碼模組 之後是匯入opencv的具體的演算法,當然是c

iOS使用opencv進行影象識別操作(一)步驟很多,這一篇只是講了第一步.

前言OpenCV ,是一個開源的跨平臺計算機視覺和機器學習庫,通俗點的說,就是他給計算機提供了一雙眼睛,一雙可以從圖片中獲取資訊的眼鏡,從而完成人臉識別、去紅眼、追蹤移動物體等等的影象相關的功能。更多具體的說明可參見 OpenCV 官網。匯入工程匯入 OpenCV 到 Xco

Mac os Pycharm 使用Stanza進行實體識別(自然語言處理nlp)

stanza 是斯坦福開源Python版nlp庫,對自然語言處理有好大的提升,具體好在哪裡,官網裡面都有介紹,這裡就不翻譯了。下面放上對應的官網和倉庫地址。 stanza 官網地址:點選我進入 stanza github 倉庫地址:點選我進入 安裝步驟 1、Pycharm 中在設定中安裝 stanza 是比較

C#的深度學習(五):在ML.NET使用預訓練模型進行硬幣識別

在本系列的最後,我們將介紹另一種方法,即利用一個預先訓練好的CNN來解決我們一直在研究的硬幣識別問題。 在這裡,我們看一下轉移學習,調整預定義的CNN,並使用Model Builder訓練我們的硬幣識別模型。 我們將使用ML.NET代替Keras.NET。為什麼不使用Keras.NET呢?儘管Keras.NE

NUnit.Framework在VS2015如何進行單元測試

開放 ron 微軟 strong 擴展 分享 方案 mar 項目 微軟在VS2015中加入了自動化生成測試功能, 在需要測試的源文件的公共方法中右鍵既可以創建單元測試。 不過需要註意的是,要在公共方法中創建,否則會提示這個錯誤 如下是自動化單元測試界面,可以發

Java基於HTTP協議網絡編程

copy 統一 throws 網絡編程 設置 查詢 trac enc pac java中為我們的網絡支持提供了java.net包,能夠使我們以編程的方式來訪問Web服務功能,這篇博客,就跟大家分享一下。Java中的網絡編程的知識。主要是學習下該java.net包下的

SPSS進行兩獨立樣本T檢驗

兩種 均勻分布 .sh 之間 單樣本 平均值 logs poi 通過 一、驗證兩獨立樣本數據是否符合正態分布(分析-描述統計-探索),若不符合對數據進行處理,若符合進行第二步; 關註正態分布結果: (1)單樣本的K-S檢驗是用來檢驗一個數據的觀測經驗分布是否是已知的理論分布

SPSS進行配對樣本T檢驗

可見 人的 導入 比較 wid 訓練 因變量 的人 ima ?特點:在配對樣本T檢驗中,強調被試一定要同質,其目的就為了消除目的是額外變量的影響,更能反映自變量和因變量之間的關系。 ?配對樣本t檢驗的過程,是對兩個同質的樣本分別接受兩種不同的處理或一個樣本先後接受不同的處

[轉]kaldi的在線識別----Online Recognizers

online images -o nbsp rec 學習 討論 kaldi .net 轉自: http://blog.csdn.net/wbgxx333/article/details/24932533 本文是kaldi學習聯盟中@冒頓翻譯的,下面是@冒頓的翻譯結果,在這裏

調用騰訊優圖開放平臺進行人臉識別-Java調用API實現

ace tno 開放平臺 term href max pre ant water ttp://open.youtu.qq.com官網 騰訊產品文檔 直接234. 第一步:鑒權服務技術方案 Java代碼實現如下 import java.util.Date;

應用層/安全層/傳輸層如何進行協議選型?

c++ 應用層 什麽 保密 技術人 ccf ima 詳情 server 系統設計,協議先行。 大部分技術人沒有接觸協議的設計細節,更多的是使用已有協議進行應用層的編碼,例如: (1)使用http作為載體,設計get/post/cookie參數 (2)使用dubbo框架,而不

android黑科技系列——分析某直播App的協議加密原理以及調用加密方法進行協議參數構造

輸出結果 防護 返回 不能 定義類 多個 類型 所在 文件中 一、前言 隨著直播技術火爆之後,各家都出了直播app,早期直播app的各種請求協議的參數信息都沒有做任何加密措施,但是慢慢的有人開始利用這個後門開始弄刷粉關註工具,可以讓一個新生的小花旦分分鐘變成網紅。所以介於

android黑科技系列——Wireshark和Fiddler分析Android的TLS協議包數據(附帶案例樣本)

以管理員身份運行 inter pca lar stop 解析失敗 dash 獲取 程序 一、前言 在之前一篇文章已經介紹了一款網絡訪問軟件的破解教程,當時采用的突破口是應用程序本身的一個漏洞,就是沒有關閉日誌信息,我們通過抓取日誌獲取到關鍵信息來找到突破口進行破解的。那篇