nDPI 4.6 stiže s podrškom za nove protokole, usluge i još mnogo toga

Darkcrizt

4 minuta

ndpi.

nDPI® je LGPLv3 biblioteka otvorenog koda za dubinsku inspekciju paketa. Baziran na OpenDPI, uključuje ntop ekstenzije.

The izdanje nove verzije nDPI 4.6 koji uvodi nekoliko poboljšanja, kao i podršku za više protokola i robusnost zahvaljujući fuzzing kodu uvedenom u ovoj verziji. Ekstrakcija metapodataka protokola je poboljšana u nekoliko protokola, kao i DGA detekcija u imenima hostova, između ostalog.

ndpi. Karakterizira ga upotreba i ntop -a i nProbe za dodavanje otkrivanja protokola na aplikacijskom sloju, bez obzira na port koji se koristi. To znači da je moguće otkriti poznate protokole na nestandardnim portovima.

Projekat omogućuje vam da odredite protokole na razini aplikacije koji se koriste u prometu analizom prirode mrežne aktivnosti bez vezivanja za mrežne portove (možete odrediti poznate protokole čiji upravljački programi prihvaćaju veze na nestandardnim mrežnim portovima, na primjer ako se http ne šalje s porta 80 ili, obrnuto, kada pokušaju kamuflirati druge mrežne aktivnosti kao što je http pokrenut na portu 80).

Glavne nove funkcije nDPI 4.6

U novom izdanju nDPI 4.6, pruža mogućnost definiranja prilagođenih protokola pomoću nBPF filtera (na primjer: 'nbpf:»host 192.168.1.1 i port 80″@HomeRouter').

Tambien performanse analize saobraćaja su znatno poboljšane, kao i otkrivanje WebShell i PHP koda u HTTP URL-ovima i definicija DGA (Domain Generational Algorithm).

Proširen je raspon otkrivenih mrežnih prijetnji i problema povezan sa rizikom preuzimanja obaveza (rizik toka). Dodata podrška za nove tipove prijetnji: NDPI_HTTP_OBSOLETE_SERVER (otkriva stare verzije Apachea i nginxa), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Još jedan novitet koji je predstavljen u ovoj novoj verziji su implementirani fuzing testovi zajedno sa poboljšanom provjerom AES-NI instrukcija i poboljšanjima u serijalizaciji podataka u JSON formatu.

S druge strane, također je istaknuto da dodane statistike za Patricia, Ahocarasick i LRU keš memoriju, kao i konfigurabilnu logiku starenja ulaska u LRU keš, podršku za RTP tokove za strimovanje metapodataka i da uslužni program ndpiReader implementira podršku za Linux Cooked Capture v2 protokol.

Što se tiče dodataka podrške za protokole i usluge:

  • Activision
  • Pristup AliCloud serveru
  • AVAST
  • CryNetwork
  • Anydesk
  • Bittorrent (popravka pouzdanosti, detekcija preko TCP-a)
  • DNS, dodaje mogućnost dekodiranja DNS PTR zapisa koji se koriste za obrnuto rješavanje adrese
  • DTLS (obrada fragmente certifikata)
  • Facebook VoIP pozivi
  • FastCGI (seciraj PARAME)
  • FortiClient (ažuriranje zadanih portova)
  • Diskord
  • edns
  • Elasticsearch
  • FastCGI
  • kismet
  • Liane App i Line VoIP pozivi
  • Meraki Cloud
  • muanin
  • NATPMP
  • HTTP podklasifikacija
  • Provjerite ima li prazan/nedostajući korisnički agent u HTTP-u
  • IRC (provjera akreditiva)
  • Jabber / XMPP
  • Kerberos (podrška za poruke Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (izbjegavajte lažne pozitivne rezultate)
  • Sinhronizacija
  • TP-LINK Smart Home
  • TVOJ LAN
  • SoftEtherVPN
  • tailscale
  • TiVoConnect
  • SNMP
  • SMB (podrška za poruke podijeljene u više TCP segmenata)
  • SMTP (podrška za X-ANONYMOUSTLS komandu)
  • STUN
  • SKYPE (poboljšajte detekciju preko UDP-a, uklonite detekciju preko TCP-a)
  • Teamspeak3 (detekcija licence/weblist)
  • Threema Messenger
  • Zum
  • Dodajte Zoom detekciju dijeljenja ekrana
  • Dodajte detekciju Zoom peer-to-peer tokova u STUN
  • Hangout/Duo Voip detekcija poziva, optimizirajte pretraživanja u stablu protokola
  • HTTP
  • Rukovanje HTTP-Proxy i HTTP-Connect-om
  • postgres
  • POP3
  • QUIC (podrška za 0-RTT pakete primljene prije početnog)
  • Snapchat VoIP pozivi

Konačno ako ste zainteresirani da saznate više o tome O ovoj novoj verziji možete provjeriti detalje u sljedeći link.

Kako instalirati nDPI na Linux?

Za one koji su zainteresirani da mogu instalirati ovaj alat na svoj sistem, to mogu učiniti slijedeći upute koje dijelimo u nastavku.

Da biste instalirali alat, moramo preuzeti izvorni kod i kompajlirati ga, ali prije toga ako jesu Korisnici Debiana, Ubuntu-a ili derivata Od njih prvo moramo instalirati sljedeće:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

U slučaju onih koji jesu Korisnici Arch Linuxa:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Sada, da bismo kompajlirali, moramo preuzeti izvorni kod, koji možete dobiti upisivanjem:

git clone https://github.com/ntop/nDPI.git

cd nDPI

I nastavljamo sa prevođenjem alata upisivanjem:

./autogen.sh
make

Ako ste zainteresovani da saznate više o upotrebi alata, možete provjerite sljedeći link.


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.