nDPId Docker Image for deep packet inspection. As described in nDPId, we split the image into producer and consumer image for a more generic purpose. For the producer, the image starts the UNIX and UDP socket and nDPId respectively. Via environment variables, users can adapt the nDPId daemon and nDPIsrvd. As by now, we support all current nDPId parameters.
| Live Notebook |
|
| Latest Release |
|
| Supported Versions |
|
| Project License |
|
| Continuous Integration |
|
| Continuous Integration |
|
In order to run this container you'll need docker installed.
Pull images:
docker pull stefan96/heidpi-producer:main
docker pull stefan96/heidpi-consumer:mainRun producer and consumer separately from each other using UDP socket:
docker run -p 127.0.0.1:7000:7000 --net host stefan96/heidpi-producer:main
docker run -e HOST=127.0.0.1 --net host stefan96/heidpi-consumer:mainor use the docker-compose.yml:
docker-compose upAdditionally, you use a UNIX socket:
docker run -v ${PWD}/heidpi-data:/tmp/ --net host stefan96/heidpi-producer:main
docker run -v ${PWD}/heidpi-data:/tmp/ -v ${PWD}/heidpi-logs:/var/log -e UNIX=/tmp/nDPIsrvd-daemon-distributor.sock --net host stefan96/heidpi-consumer:mainFor a more detail view on how to customize your images, see:
Das Dashboard-Modul bietet eine visuelle Oberfläche zur Analyse und Überwachung von Netzwerk-Flow-Events, die durch heiDPI generiert und mittels Loki in Grafana bereitgestellt werden.
Das Dashboard gliedert sich in zwei Hauptbereiche:
-
Übersichtspanels:
- Count Flows by Breed Type: Balkendiagramm zur Darstellung der Anzahl von Flow-Events nach Klassifizierung (
ndpi_breed). - Flow Events Time Plot: Zeitreihenvisualisierung der Flow-Rate zur Erkennung zeitlicher Trends.
- Unsafe & Tracking Flows: Tabelle mit Flows klassifiziert als
UnsafeoderTracker/Ads. - Potentially Dangerous & Dangerous Flows: Flows mit erhöhtem Sicherheitsrisiko.
- Unrated Flows: Flows ohne Bewertung zur weiteren Untersuchung.
- Count Flows by Breed Type: Balkendiagramm zur Darstellung der Anzahl von Flow-Events nach Klassifizierung (
-
Detailansicht pro Flow-ID:
- Selektierbare Variable
Flow IDerlaubt das gezielte Anzeigen und Analysieren einzelner Flows in dedizierten Panels.
- Selektierbare Variable
Das System beinhaltet eine Alert-Regel zur Erkennung gefährlicher Flows:
- Dangerous Flow Events Alert: Überwacht Flows mit
ndpi_breed="Dangerous"und löst eine Warnung bei erkennung aus. Die Benachrichtigung verweist auf das Dashboard zur detaillierten Analyse.
Hinweis: Die URL des Webhooks muss vor dem produktiven Einsatz in der Datei
./grafana-data/provisioning/alerting/contact-points.ymlangepasst werden.
Die Dashboard Funktionalität wird über docker compose gesteuert und startet zusammen mit heiDPI.
Grafana ist unter localhost:3000 erreichbar.
This project is licensed under the GPL-3.0 license - see the LICENSE.md file for details.