L ntop vývojáři projektů (kteří vyvíjejí nástroje pro zachycení a analýzu provozu) oznámeno nedávno vydané nová verze nDPI 4.4, což je pokračující údržba nadmnožiny populární knihovny OpenDP.
nDPI Je charakterizován tím, že jej používají ntop i nProbe k přidání detekce protokolů na aplikační vrstvě, bez ohledu na používaný port. To znamená, že je možné detekovat známé protokoly na nestandardních portech.
El Proyecto umožňuje určit protokoly na úrovni aplikace používané v provozu analýzou povahy síťové aktivity bez vazby na síťové porty (můžete určit známé protokoly, jejichž ovladače přijímají připojení na nestandardních síťových portech, například pokud není http odeslán z portu 80, nebo naopak, když se pokoušejí maskovat jiné síťová aktivita, jako je http běžící na portu 80).
Rozdíly s OpenDPI jsou sníženy na podporu dalších protokolů, přenositelnost pro platformu Windows, optimalizace výkonu, adaptace pro použití v aplikacích pro sledování provozu v reálném čase (některé specifické funkce, které zpomalovaly motor, byly odstraněny), budování schopností ve formě modulu jádra Linuxu a podpora pro definování sub -protokoly.
Hlavní nové funkce nDPI 4.4
V této nové verzi, která je uvedena je třeba poznamenat, že byla přidána metadata s informací o důvodu volání správce pro konkrétní hrozbu.
Další důležitá změna je v vestavěná implementace gcrypt, která je ve výchozím nastavení povolenaa (pro použití systémové implementace se doporučuje volba --with-libgcrypt).
Kromě toho je také zdůrazněno, že byl rozšířen rozsah detekovaných síťových hrozeb a souvisejících problémů s rizikem kompromitace (riziko toku) a také přidána podpora pro nové typy hrozeb: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT a NDPI_ANONYMOUS_SUBSCRIBER.
Přidané funkce ndpi_check_flow_risk_exceptions() k povolení obsluhy síťových hrozeba byly přidány dvě nové úrovně ochrany osobních údajů: NDPI_CONFIDENCE_DPI_PARTIAL a NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
To je také zdůrazněno aktualizované vazby pro jazyk python, byla interní implementace hashmap nahrazena uthash, stejně jako rozdělení na síťové protokoly (například TLS) a aplikační protokoly (například služby Google) a šablona pro definování použití byla přidána služba WARP společnosti Cloudflare.
Na druhou stranu je třeba také poznamenat, že přidána detekce protokolu pro:
- UltraSurf
- i3D
- nepokoje
- tsan
- TunnelBear VPN
- shromážděno
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- Produkty GoTo (hlavně GoToMeeting)
- dazn
- MPEG-DASH
- Síť v reálném čase definovaná softwarem Agora (SD-RTN)
- Klepněte na Boca
- VXLAN
- DMNS/LLMNR
Z dalších změn které vynikají pro tuto novou verzi:
- Opravy pro některé rodiny klasifikace protokolů.
- Opraveny výchozí porty protokolu pro e-mailové protokoly
- Různé opravy paměti a přetečení
- Různá rizika deaktivována pro konkrétní protokoly (například deaktivace chybějícího ALPN pro CiscoVPN)
- Opravte dekapsulaci TZSP
- Aktualizujte seznamy ASN/IP
- Vylepšené profilování kódu
- Použijte Doxygen ke generování dokumentace API
- Přidány CDN Edgecast a Cachefly.
Konečně pokud máte zájem o tom vědět více O této nové verzi můžete zkontrolovat podrobnosti v následující odkaz.
Jak nainstalovat nDPI na Linux?
Pro ty, kteří mají zájem o možnost nainstalovat tento nástroj do svého systému, mohou tak učinit podle pokynů, které sdílíme níže.
Chcete-li nástroj nainstalovat, musíme stáhnout zdrojový kód a zkompilovat ho, ale předtím, pokud jsou Uživatelé Debianu, Ubuntu nebo derivátů Z nich musíme nejprve nainstalovat následující:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
V případě těch, kteří jsou Uživatelé Arch Linuxu:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Nyní, abychom mohli kompilovat, musíme stáhnout zdrojový kód, který můžete získat zadáním:
git clone https://github.com/ntop/nDPI.git cd nDPI
A pokračujeme v kompilaci nástroje zadáním:
./autogen.sh make
Pokud máte zájem dozvědět se více o použití nástroje, můžete zkontrolujte následující odkaz.