nDPI 4.6 arriba amb suport per a nous protocols, serveis i més

nDPI

nDPI® és una biblioteca LGPLv3 de codi obert per a la inspecció profunda de paquets. Basat en OpenDPI, inclou extensions ntop.

Es va donar a conèixer el llançament de la nova versió de nDPI 4.6 que introdueix diverses millores, així com també el suport per a més protocols i robustesa gràcies al codi fuzzing introduït en aquesta versió. L'extracció de metadades de protocol s'ha millorat en diversos protocols, així com la detecció de DGA en noms d'amfitrió, entre d'altres.

nDPI es caracteritza per ser utilitzat tant per ntop com per nProbe per afegir la detecció de protocols en la capa d'aplicació, sense importar el port que s'estigui utilitzant. Això vol dir que és possible detectar protocols coneguts en ports no estàndard.

El Projecte permet determinar els protocols de nivell d'aplicació utilitzats en el tràfic mitjançant l'anàlisi de la naturalesa de l'activitat de la xarxa sense vincular-se als ports de la xarxa (pot determinar els protocols coneguts els controladors accepten connexions en ports de xarxa no estàndard, per exemple, si s'envia http no des del port 80, o, per contra, quan intenten camuflar altra activitat de xarxa com http executant en el port 80).

Principals novetats de nDPI 4.6

Al nou llançament de nDPI 4.6, es va proporcionar la capacitat de definir protocols personalitzats mitjançant filtres nBPF (per exemple: 'nbpf:»host 192.168.1.1 i port 80″@HomeRouter').

també s'ha millorat força el rendiment de l'anàlisi de trànsit, així com també la detecció de codi WebShell i PHP a URL HTTP i la definició de DGA (Domain Generational Algorithm).

S'ha ampliat la gamma d'amenaces de xarxa detectades i problemes associats amb el risc de compromís (risc de flux). S'ha afegit suport per a nous tipus d'amenaces: NDPI_HTTP_OBSOLETE_SERVER (detecta versions antigues d'Apache i nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Una altra de les novetats que es presenta d'aquesta nova versió són les proves de fuzzing implementades juntament amb una comprovació millorada de les instruccions AES-NI i les millores implementades a la serialització de dades en format JSON.

D'altra banda, també es destaca que es van afegir estadístiques per a Patricia, Ahocarasick i caché LRU, així com també una lògica d'antiguitat d'entrada de memòria cau LRU configurable, suport per a fluxos RTP a les metadades de flux i que la utilitat ndpiReader implementa suport per al protocol Linux Cooked Capture v2.

Per la part de les addicions de suport per a protocols i serveis:

  • Activision
  • AliCloud server access
  • Avast
  • CryNetwork
  • Anydesk
  • Bittorrent (fix confidence, detection over TCP)
  • DNS, add ability to decode DNS PTR records used for reverse address resolution
  • DTLS (handle certificate fragments)
  • Facebook VoIP calls
  • FastCGI (dissect PARAMS)
  • FortiClient (update default ports)
  • Discòrdia
  • EDNS
  • Elasticsearch
  • FastCGI
  • Kismet
  • Liane App and Line VoIP calls
  • Meraki Cloud
  • Muanin
  • NATPMP
  • HTTP subclassification
  • Check for empty/missing user-agent in HTTP
  • IRC (credentials check)
  • Jabber / XMPP
  • Kerberos (support for Krb-Error messages)
  • LDAP
  • MGCP
  • MONGODB (avoid false positives)
  • Syncthing
  • TP-LINK Smart Home
  • TEVA LAN
  • VPN SoftEther
  • Escala de cua
  • TiVoConnect
  • SNMP
  • SMB (support for messages split into multiple TCP segments)
  • SMTP (support for X-ANONYMOUSTLS command)
  • ESTUFA
  • SKYPE (improve detection over UDP, remove detection over TCP)
  • Teamspeak3 (License/Weblist detection)
  • Threema Messenger
  • zoom
  • Add Zoom screen share detection
  • Add detection of Zoom flows to peer-to-peer in STUN
  • Hangout/Duo Voip calls detecció, optimitzar lookups in the protocol tree
  • HTTP
  • Handling of HTTP-Proxy and HTTP-Connect
  • Postgrats
  • POP3
  • QUIC (support for 0-RTT packets received before the initial)
  • Snapchat VoIP calls

Finalment si estàs interessat en poder conèixer més a l'respecte sobre aquesta nova versió, pots consultar els detalls al següent enllaç.

Com instal·lar nDPI a Linux?

Per als qui estiguin interessats en poder instal·lar aquesta eina al vostre sistema, poden fer-ho seguint les instruccions que compartim a continuació.

Per poder instal·lar l'eina, hem de descarregar el codi font i compilar-ho, però abans si són usuaris de Debian, Ubuntu o algun derivat d'aquests, primer hem d'instal·lar el següent:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

En el cas dels que són usuaris d'Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Ara, per poder realitzar la compilació hem de descarregar el codi font, el qual pots obtenir teclejant:

git clone https://github.com/ntop/nDPI.git

cd nDPI

I procedim a comprilar l'eina teclejant:

./autogen.sh
make

Si esteu interessats en poder conèixer més sobre l'ús de l'eina, podeu consultar el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.