Лос разработчици на проекти на ntop (които разработват инструменти за улавяне и анализ на трафика) направени известни наскоро освободен новата версия на nDPI 4.4, което е непрекъснато поддържащо множество от популярната OpenDP библиотека.
nDPI Характеризира се с това, че се използва както от ntop, така и от nProbe за добавяне на откриване на протоколи на приложния слой, независимо от използвания порт. Това означава, че е възможно да се открият известни протоколи на нестандартни портове.
Проектът ви позволява да определите протоколите на ниво приложение, използвани в трафика чрез анализ на естеството на мрежовата активност без обвързване с мрежови портове (можете да определите известни протоколи, чиито драйвери приемат връзки на нестандартни мрежови портове, например ако http не се изпраща от порт 80, или обратно, когато се опитват да маскират други мрежова активност, като например http, работеща на порт 80).
Разликите с OpenDPI се свеждат до поддръжка на допълнителни протоколи, преносимост за платформата на Windows, оптимизация на производителността, адаптация за използване в приложения за наблюдение на трафика в реално време (някои специфични функции, които забавят двигателя са премахнати), изграждане на възможности под формата на модул на ядрото на Linux и поддръжка за дефиниране на под -протоколи.
Основни нови функции на nDPI 4.4
В тази нова версия, която е представена отбелязва се, че са добавени метаданни с информация за причината за извикване на администратора за конкретна заплаха.
Друга важна промяна е в вградената реализация на gcrypt, която е активирана по подразбиранеa (предлага се опцията --with-libgcrypt за използване на системната реализация).
В допълнение към това се подчертава и това обхватът на откритите мрежови заплахи и свързаните с тях проблеми е разширен с риск от компрометиране (риск от поток) и също така добавена поддръжка за нови типове заплахи: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
Добавено функцията ndpi_check_flow_risk_exceptions() за активиране на манипулатори на мрежови заплахи, както и две нови нива на поверителност са добавени: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Също така се подчертава, че актуализирани обвързвания за езика на python, вътрешното внедряване на hashmap е заменено с uthash, както и разделянето на мрежови протоколи (например TLS) и протоколи за приложения (например услуги на Google) и шаблонът за определяне на употребата е добавена услугата WARP на Cloudflare.
От друга страна се отбелязва също, че добавено откриване на протокол за:
- UltraSurf
- i3D
- игри на безредици
- ЦАН
- TunnelBear VPN
- събрани
- PIM (протоколно независимо мултикаст)
- Pragmatic General Multicast (PGM)
- RSH
- GoTo продукти (основно GoToMeeting)
- Дазн
- MPEG-DASH
- Софтуерно дефинирана мрежа в реално време на Agora (SD-RTN)
- Тока Бока
- VXLAN
- DMNS/LLMNR
От останалите промени които се отличават за тази нова версия:
- Поправки за някои фамилии за класификация на протоколи.
- Фиксирани портове на протоколи по подразбиране за имейл протоколи
- Различни корекции на паметта и препълването
- Различни рискове са деактивирани за конкретни протоколи (например деактивирайте липсващ ALPN за CiscoVPN)
- Поправете декапсулирането на TZSP
- Актуализирайте ASN/IP списъци
- Подобрено профилиране на кода
- Използвайте Doxygen за генериране на API документация
- Добавени са Edgecast и Cachefly CDN.
Накрая ако се интересувате да научите повече за това За тази нова версия можете да проверите подробностите в следваща връзка.
Как да инсталирам nDPI на Linux?
За тези, които се интересуват от възможността да инсталират този инструмент на своята система, те могат да го направят, като следват инструкциите, които споделяме по-долу.
За да инсталирате инструмента, трябва да изтеглим изходния код и да го компилираме, но преди това ако са Потребители на Debian, Ubuntu или производни От тях първо трябва да инсталираме следното:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
В случая с тези, които са Потребители на Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Сега, за да компилираме, трябва да изтеглим изходния код, който можете да получите, като напишете:
git clone https://github.com/ntop/nDPI.git cd nDPI
И продължаваме да компилираме инструмента, като напишем:
./autogen.sh make
Ако се интересувате да научите повече за използването на инструмента, можете проверете следната връзка.