nDPI® е библиотека LGPLv3 с отворен код за дълбока проверка на пакети. Базиран на OpenDPI, включва разширения ntop.
В пускане на новата версия на nDPI 4.6 който въвежда няколко подобрения, както и поддръжка за повече протоколи и устойчивост благодарение на кода за размиване, въведен в тази версия. Извличането на метаданни от протокола е подобрено в няколко протокола, както и откриването на DGA в имената на хостове, наред с други неща.
nDPI Характеризира се с това, че се използва както от ntop, така и от nProbe за добавяне на откриване на протоколи на приложния слой, независимо от използвания порт. Това означава, че е възможно да се открият известни протоколи на нестандартни портове.
Проектът ви позволява да определите протоколите на ниво приложение, използвани в трафика чрез анализ на естеството на мрежовата активност без обвързване с мрежови портове (можете да определите известни протоколи, чиито драйвери приемат връзки на нестандартни мрежови портове, например ако http не се изпраща от порт 80, или обратно, когато се опитват да маскират други мрежова активност, като например http, работеща на порт 80).
Основни нови функции на nDPI 4.6
В новата версия на nDPI 4.6, предоставена възможност за дефиниране на персонализирани протоколи с помощта на nBPF филтри (например: 'nbpf:»хост 192.168.1.1 и порт 80″@HomeRouter').
Tambien ефективността на анализа на трафика е значително подобрена, както и откриването на WebShell и PHP код в HTTP URL адреси и дефинирането на DGA (алгоритъм за генериране на домейн).
Обхватът на откритите мрежови заплахи и проблеми е разширен свързан с риск от ангажимент (риск на потока). Добавена е поддръжка за нови типове заплахи: NDPI_HTTP_OBSOLETE_SERVER (открива стари версии на Apache и nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Друга новост, която е представена в тази нова версия, са изпълнени тестове за размиване заедно с подобрена проверка на AES-NI инструкции и подобрения, направени за сериализиране на данни във формат JSON.
От друга страна, също се подчертава, че добавени статистики за Patricia, Ahocarasick и LRU кеш, както и конфигурируема логика за стареене на влизане в LRU кеш, поддръжка за RTP потоци за поточно предаване на метаданни и че помощната програма ndpiReader внедрява поддръжка за протокола Linux Cooked Capture v2.
От страна на допълненията за поддръжка на протоколи и услуги:
- Activision
- Достъп до сървъра на AliCloud
- AVAST
- CryNetwork
- Anydesk
- BitTorrent (фиксиране на увереност, откриване през TCP)
- DNS, добавете възможност за декодиране на DNS PTR записи, използвани за обратна резолюция на адреси
- DTLS (обработва фрагменти от сертификат)
- VoIP разговори във Facebook
- FastCGI (дисекция на ПАРАМЕТРИ)
- FortiClient (актуализиране на портовете по подразбиране)
- раздор
- edns
- Elasticsearch
- FastCGI
- Късмет
- Liane App и Line VoIP разговори
- Облак Мераки
- муанин
- NATPMP
- HTTP подкласификация
- Проверете за празен/липсващ потребителски агент в HTTP
- IRC (проверка на идентификационни данни)
- Jabber / XMPP
- Kerberos (поддръжка за Krb-Error съобщения)
- LDAP
- MGCP
- MONGODB (избягвайте фалшиви положителни резултати)
- Syncthing
- TP-LINK Smart Home
- ВАШАТА ЛАН
- SoftEtherVPN
- Опашна скала
- TiVoConnect
- SNMP
- SMB (поддръжка за съобщения, разделени на множество TCP сегменти)
- SMTP (поддръжка за команда X-ANONYMOUSTLS)
- ЗАШЕМЕТЯВАНЕ
- SKYPE (подобряване на откриването през UDP, премахване на откриването през TCP)
- Teamspeak3 (откриване на лиценз/уеб списък)
- Threema Messenger
- Zoom
- Добавяне на разпознаване за споделяне на екрана при мащабиране
- Добавете откриване на Zoom peer-to-peer потоци в STUN
- Откриване на обаждания Hangout/Duo Voip, оптимизиране на търсенето в дървото на протокола
- HTTP
- Работа с HTTP-прокси и HTTP-Connect
- Postgres
- POP3
- QUIC (поддръжка за 0-RTT пакети, получени преди първоначалния)
- Snapchat VoIP разговори
Накрая ако се интересувате да научите повече за това За тази нова версия можете да проверите подробностите в следваща връзка.
Как да инсталирам nDPI на Linux?
За тези, които се интересуват от възможността да инсталират този инструмент на своята система, те могат да го направят, като следват инструкциите, които споделяме по-долу.
За да инсталирате инструмента, трябва да изтеглим изходния код и да го компилираме, но преди това ако са Потребители на Debian, Ubuntu или производни От тях първо трябва да инсталираме следното:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
В случая с тези, които са Потребители на Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Сега, за да компилираме, трябва да изтеглим изходния код, който можете да получите, като напишете:
git clone https://github.com/ntop/nDPI.git cd nDPI
И продължаваме да компилираме инструмента, като напишем:
./autogen.sh make
Ако се интересувате да научите повече за използването на инструмента, можете проверете следната връзка.