nDPI深度包检测库配置参数详解

nDPI深度包检测库配置参数详解

nDPI Open Source Deep Packet Inspection Software Toolkit 项目地址: https://gitcode.com/gh_mirrors/nd/nDPI

概述

ntop/nDPI是一个开源的深度包检测(DPI)库，用于网络流量分析和协议识别。本文将详细介绍nDPI库中可配置的各项参数，帮助用户根据实际需求优化流量检测性能。

核心配置参数

流量处理基础配置

1. packets_limit_per_flow (默认32)

   • 限制每个流进行DPI分析的最大包数，超过此数后分类即完成
   • 设为0表示无限制，适用于需要完整分析流量的场景

2. flow.direction_detection (默认启用)

   • 启用流方向检测(客户端到服务端或反之)
   • 禁用可略微提升性能但会丢失方向信息

3. flow.track_payload (默认禁用)

   • 启用后会导出每个流的前1024字节负载数据
   • 注意隐私合规问题，仅调试时建议启用

协议猜测机制

1. flow.use_client_ip_in_guess (默认启用)

   • 基于客户端IP进行协议猜测
   • 结合IP数据库可提高猜测准确率

2. flow.use_client_port_in_guess (默认启用)

   • 基于客户端端口进行协议猜测
   • 传统端口猜测方法，对非标准端口服务可能失效

3. dpi.guess_on_giveup (默认0x03)

   • DPI失败后的猜测策略位掩码：
     • 0x01: 启用端口猜测
     • 0x02: 启用IP猜测
   • 组合使用效果更佳

高级检测配置

异常流量检测

1. tcp_ack_payload_heuristic (默认禁用)

   • 检测异常TCP ACK包中的零填充问题
   • 解决特定网络环境下TCP重组错误

2. fully_encrypted_heuristic (默认禁用)

   • 检测全加密会话(试图伪装成随机数据)
   • 基于首包分析，参考USENIX安全论文技术

TLS相关配置

1. certificate_expiration_threshold (默认30天)

   • TLS证书过期风险阈值
   • 早于此天数的证书将触发NDPI_TLS_CERTIFICATE_ABOUT_TO_EXPIRE风险

2. dpi.heuristics (默认0x00)

   • TLS加密/混淆流检测启发式方法位掩码：
     • 0x01: 基础加密TLS检测
     • 0x02: TLS-in-TLS检测
     • 0x04: WebSocket上的TLS检测
   • 启用可能增加误报

3. metadata.ja3s_fingerprint (默认启用)

   • 启用JA3S指纹计算
   • 用于TLS客户端指纹识别

协议特定配置

HTTP协议

1. metadata.host (默认启用)

   • 导出Host头信息
   • 关键用于虚拟主机识别

2. metadata.username/password (默认禁用)

   • 导出明文认证信息
   • 强烈建议生产环境禁用

DNS协议

1. subclassification (默认禁用)

   • 基于查询/响应域名进行子分类
   • 启用会增加CPU开销但提供更细粒度分类

2. process_response (默认启用)

   • 处理DNS响应包
   • 禁用会加快分类但丢失响应相关信息

P2P协议

1. metadata.hash (默认启用)
   • 导出P2P流的哈希值
   • 用于特定资源识别

性能优化配置

LRU缓存设置

1. lru.$CACHE_NAME.size

   • 设置各种LRU缓存大小
   • 支持的缓存类型：ookla, p2p, stun等
   • 设为0禁用缓存

2. lru.$CACHE_NAME.ttl

   • 设置缓存项存活时间(秒)
   • 0表示永不过期

3. lru.$CACHE_NAME.scope

   • 设置缓存作用域：
     • 0: 本地缓存
     • 1: 全局缓存(需预先初始化全局上下文)

元数据处理

1. metadata.tcp_fingerprint (默认启用)

   • 计算并导出TCP指纹
   • 用于被动操作系统识别

2. metadata.tcp_fingerprint_format (默认0)

   • 指纹格式选择：
     • 0: nDPI原生格式
     • 1: MuonOF格式

日志与调试

1. log.level (默认0)

   • 日志级别：
     • 0: 错误
     • 1: 跟踪
     • 2: 调试
     • 3: 额外调试
   • 生产环境建议保持0或1

2. filename.config

   • 指定包含配置参数的文件名
   • 每行一个参数，便于批量配置

最佳实践建议

1. 性能敏感环境：

   • 限制packets_limit_per_flow
   • 禁用非必要元数据收集
   • 调整LRU缓存大小匹配内存资源

2. 安全分析场景：

   • 启用全加密流检测
   • 配置适当的TLS启发式方法
   • 保持流风险检测启用

3. 合规性要求：

   • 禁用敏感数据收集(username/password)
   • 谨慎启用payload跟踪
   • 配置适当的日志级别

通过合理配置这些参数，用户可以在检测精度、资源消耗和功能需求之间找到最佳平衡点。建议根据实际应用场景进行针对性调优，并定期评估配置效果。

nDPI Open Source Deep Packet Inspection Software Toolkit 项目地址: https://gitcode.com/gh_mirrors/nd/nDPI