ndpi разбор pcap файлов

Что-то похожее intelfx искал уже в 2017

Не, я банально парсил netflow.

По теме:

скармливаешь софтине pcap файл, она его разбирает на потоки и смотрит что за протокол по сигнатурам и возвращал список потоков (в формате srp-dst ip + proto)

Hot take: «софтина, которая смотрит что за протокол по сигнатурам» звучит как wireshark :)

Для ручного парсинга да, а мне нужно автоматизировать

Типа такого? tshark -T fields -e frame.protocols -nr /path/to/file

Да, но с большими подробностями, например отличать tls от openvpn и в sni заглядывать

Да, но с большими подробностями, например отличать tls от openvpn и в sni заглядывать

Выбери нужные поля из tshark -G fields и добавь в -e.

Спасибо, буду изучать список. но как я понимаю L7 сигнатуры он не умеет проверять, как тот-же nDPI в iptables, или все там есть просто список нужно внимательно изучать?

как я понимаю L7 сигнатуры он не умеет проверять

https://tshark.dev/analyze/packet_hunting/packet_hunting/

Список - это поля, которые tshark может показывать, это мало отношения к матчингу имеет.

Чем не устроил ndpiReader из nDPI?

Его научили отдавать результаты и в json/csv/tlv.

Не натыкался на него, посмотрю что умеет

Забавно, в oldstable и testing есть, в stable нет...ох уж этот debian, вообще похоже на то что нужно, спасибо