nDPI 4.4 arriba amb millores de suport per a protocols i més

Darkcrizt

4 minuts

Els desenvolupadors de el projecte ntop (Que desenvolupen eines per capturar i analitzar el tràfic) van donar a conèixer fa poc l'alliberament de la nova versió de nDPI 4.4, La qual és un superconjunt de manteniment continu de la popular biblioteca OpenDP.

nDPI es caracteritza per ser utilitzat tant per ntop com per nProbe per afegir la detecció de protocols en la capa d'aplicació, sense importar el port que s'estigui utilitzant. Això vol dir que és possible detectar protocols coneguts en ports no estàndard.

El Projecte permet determinar els protocols de nivell d'aplicació utilitzats en el tràfic mitjançant l'anàlisi de la naturalesa de l'activitat de la xarxa sense vincular-se als ports de la xarxa (pot determinar els protocols coneguts els controladors accepten connexions en ports de xarxa no estàndard, per exemple, si s'envia http no des del port 80, o, per contra, quan intenten camuflar altra activitat de xarxa com http executant en el port 80).

Les diferències amb OpenDPI es redueixen a compatibilitat amb protocols addicionals, Portabilitat per a la plataforma Windows, optimització de l'rendiment, adaptació per al seu ús en aplicacions per monitoritzar el trànsit en temps real (s'han eliminat algunes característiques específiques que alentien el motor), capacitats de construcció en el formulari d'un mòdul de el nucli de Linux i suport per definir subprotocolos.

Principals novetats de nDPI 4.4

En aquesta nova versió que es presenta es destaca que es van afegir metadades amb informació sobre el motiu de trucar al controlador per a una amenaça en particular.

Un altre canvi important és en la implementació integrada de gcrypt que està habilitada per defectea (se suggereix l'opció –with-libgcrypt per utilitzar la implementació del sistema).

A més també es destaca que s'ha ampliat la gamma d'amenaces de xarxa detectades i problemes associats amb el risc de compromís (risc de flux) i que també s'hi va afegir suport per a nous tipus d'amenaces: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT i NDPI_ANONYMOUS_SUBSCRIBER.

es va agregar la funció ndpi_check_flow_risk_exceptions() per habilitar els controladors d'amenaces de xarxa, així com també s'han afegit dos nous nivells de privadesa: NDPI_CONFIDENCE_DPI_PARTIAL i NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.

També es destaca que s'han actualitzat els enllaços per al llenguatge Python, es va reemplaçar la implementació interna de hashmap amb uthash, així com també que es realitza la divisió en protocols de xarxa (per exemple, TLS) i protocols d'aplicació (per exemple, serveis de Google) i es va afegir la plantilla per definir-ne l'ús del servei WARP de Cloudflare.

D'altra banda, també es destaca que es va afegir la detecció de protocols per a:

  • Ultrasurf
  • i3D
  • RiotGames
  • TSAN
  • TunnelBear VPN
  • recollit
  • PIM (Protocol Independent Multicast)
  • Multicast general pragmàtic (PGM)
  • RSH
  • GoTo products (mainly GoToMeeting)
  • Dazn
  • MPEG-DASH
  • Agora Programari Definitiu Real-time Network (SD-RTN)
  • Toca Boca
  • VXLAN
  • MDNS/LLMNR

Dels altres canvis que es destaquen per a aquesta nova versió:

  • Correccions per a algunes famílies de classificació de protocols.
  • Ports de protocol per defecte fixos per a protocols de correu electrònic
  • Diverses correccions de memòria i desbordament
  • Diversos riscos deshabilitats per a protocols específics (per exemple, deshabilitar ALPN mancant per a CiscoVPN)
  • Arreglar la desencapsulació de TZSP
  • Actualitzar llistes d'ASN/IP
  • Perfilat de codi millorat
  • Utilitzeu Doxygen per generar la documentació de l'API
  • S'hi van afegir CDN d'Edgecast i Cachefly.

Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls al següent enllaç.

Com instal·lar nDPI a Linux?

Per als qui estiguin interessats en poder instal·lar aquesta eina al vostre sistema, poden fer-ho seguint les instruccions que compartim a continuació.

Per poder instal·lar l'eina, hem de descarregar el codi font i compilar-ho, però abans si són usuaris de Debian, Ubuntu o algun derivat d'aquests, primer hem d'instal·lar el següent:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

En el cas dels que són usuaris d'Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Ara, per poder realitzar la compilació hem de descarregar el codi font, el qual pots obtenir teclejant:

git clone https://github.com/ntop/nDPI.git

cd nDPI

I procedim a comprilar l'eina teclejant:

./autogen.sh
make

Si esteu interessats en poder conèixer més sobre l'ús de l'eina, podeu consultar el següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.