nDPI® je open source knihovna LGPLv3 pro hloubkovou kontrolu paketů. Založeno na OpenDPI, zahrnuje rozšíření ntop.
The vydání nové verze nDPI 4.6 který přináší několik vylepšení, stejně jako podporu pro více protokolů a robustnost díky fuzzing kódu představenému v této verzi. Extrakce metadat protokolu byla vylepšena u několika protokolů, stejně jako detekce DGA v názvech hostitelů, mimo jiné.
nDPI Je charakterizován tím, že jej používají ntop i nProbe k přidání detekce protokolů na aplikační vrstvě, bez ohledu na používaný port. To znamená, že je možné detekovat známé protokoly na nestandardních portech.
El Proyecto umožňuje určit protokoly na úrovni aplikace používané v provozu analýzou povahy síťové aktivity bez vazby na síťové porty (můžete určit známé protokoly, jejichž ovladače přijímají připojení na nestandardních síťových portech, například pokud není http odeslán z portu 80, nebo naopak, když se pokoušejí maskovat jiné síťová aktivita, jako je http běžící na portu 80).
Hlavní nové funkce nDPI 4.6
V novém vydání nDPI 4.6, poskytuje možnost definovat vlastní protokoly pomocí filtrů nBPF (například: 'nbpf:»hostitel 192.168.1.1 a port 80″@HomeRouter').
Také výkon analýzy návštěvnosti se výrazně zlepšil, stejně jako detekce kódu WebShell a PHP v HTTP URL a definice DGA (Domain Generational Algorithm).
Rozsah detekovaných síťových hrozeb a problémů byl rozšířen spojené s rizikem závazku (riziko toku). Přidána podpora pro nové typy hrozeb: NDPI_HTTP_OBSOLETE_SERVER (detekuje staré verze Apache a nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Další novinkou, která je představena v této nové verzi, jsou implementovány fuzzing testy spolu s vylepšenou kontrolou instrukcí AES-NI a vylepšeními serializace dat ve formátu JSON.
Na druhou stranu je také zdůrazněno, že přidány statistiky pro Patricii, Ahocarasick a LRU cache, stejně jako konfigurovatelná logika stárnutí záznamu mezipaměti LRU, podpora RTP streamů pro streamování metadat a nástroj ndpiReader implementuje podporu pro Linux Cooked Capture v2 protokol.
Na straně dodatků podpory pro protokoly a služby:
- Activision
- Přístup k serveru AliCloud
- Avast
- CryNetwork
- Anydesk
- Bittorrent (fixní spolehlivost, detekce přes TCP)
- DNS, přidat možnost dekódovat záznamy DNS PTR používané pro zpětné rozlišení adres
- DTLS (zpracování fragmentů certifikátu)
- Facebook VoIP hovory
- FastCGI (rozebrat PARAMS)
- FortiClient (aktualizace výchozích portů)
- Svár
- edns
- Elastickýsearch
- FastCGI
- Osud
- Liane App a Line VoIP hovory
- Meraki Cloud
- muanin
- NATPMP
- Podklasifikace HTTP
- Zkontrolujte, zda v HTTP není prázdný/chybějící uživatelský agent
- IRC (kontrola pověření)
- Jabber / XMPP
- Kerberos (podpora chybových zpráv Krb)
- LDAP
- MGCP
- MONGODB (vyhnout se falešným poplachům)
- Synchronizace
- TP-LINK Smart Home
- VAŠE LAN
- SoftEtherVPN
- Ocasní měřítko
- TiVoConnect
- SNMP
- SMB (podpora zpráv rozdělených do více segmentů TCP)
- SMTP (podpora příkazu X-ANONYMOUSTLS)
- OMRÁČIT
- SKYPE (zlepšit detekci přes UDP, odstranit detekci přes TCP)
- Teamspeak3 (detekce licencí/weblistu)
- Posel Threema
- zoom
- Přidat detekci sdílení obrazovky přiblížení
- Přidejte detekci přiblížení peer-to-peer toků v STUN
- Detekce hovorů Hangout/Duo Voip, optimalizace vyhledávání ve stromu protokolů
- HTTP
- Obsluha HTTP-Proxy a HTTP-Connect
- postgres
- POP3
- QUIC (podpora paketů 0-RTT přijatých před počátečním)
- Snapchat VoIP hovory
Konečně pokud máte zájem o tom vědět více O této nové verzi můžete zkontrolovat podrobnosti v následující odkaz.
Jak nainstalovat nDPI na Linux?
Pro ty, kteří mají zájem o možnost nainstalovat tento nástroj do svého systému, mohou tak učinit podle pokynů, které sdílíme níže.
Chcete-li nástroj nainstalovat, musíme stáhnout zdrojový kód a zkompilovat ho, ale předtím, pokud jsou Uživatelé Debianu, Ubuntu nebo derivátů Z nich musíme nejprve nainstalovat následující:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
V případě těch, kteří jsou Uživatelé Arch Linuxu:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Nyní, abychom mohli kompilovat, musíme stáhnout zdrojový kód, který můžete získat zadáním:
git clone https://github.com/ntop/nDPI.git cd nDPI
A pokračujeme v kompilaci nástroje zadáním:
./autogen.sh make
Pokud máte zájem dozvědět se více o použití nástroje, můžete zkontrolujte následující odkaz.