masse ntop projektudviklere (der udvikler værktøjer til at fange og analysere trafik) gjort kendt for nylig frigivet den nye version af nDPI 4.4, som er et løbende vedligeholdelsessæt i det populære OpenDP -bibliotek.
nDPI Det er kendetegnet ved at blive brugt af både ntop og nProbe til at tilføje påvisning af protokoller på applikationslaget, uanset hvilken port der bruges. Det betyder, at kendte protokoller kan detekteres på ikke-standardporte.
Projektet giver dig mulighed for at bestemme de protokoller på applikationsniveau, der bruges i trafikken ved at analysere arten af netværksaktivitet uden at binde sig til netværksporte (du kan bestemme kendte protokoller, hvis drivere accepterer forbindelser til ikke-standardiserede netværksporte, for eksempel hvis http ikke sendes fra port 80, eller omvendt, når de forsøger at camouflere andre netværksaktivitet, f.eks. http, der kører på port 80).
Forskelle med OpenDPI koger ned til understøttelse af yderligere protokoller, portabilitet til Windows -platformen, optimering af ydeevne, tilpasning til brug i applikationer til at overvåge trafik i realtid (nogle specifikke funktioner, der bremsede motoren, er blevet fjernet), opbygge muligheder i form af et Linux -kernemodul og understøttelse af definition af sub -protokoller.
Nye vigtigste funktioner i nDPI 4.4
I denne nye version, der præsenteres det bemærkes, at der er tilføjet metadata med oplysninger om årsagen til tilkaldelse af den dataansvarlige for en bestemt trussel.
En anden vigtig ændring er i den indbyggede implementering af gcrypt, som er aktiveret som standarda (--with-libgcrypt-indstillingen foreslås for at bruge systemimplementeringen).
Udover dette fremhæves det også rækken af opdagede netværkstrusler og tilhørende problemer er blevet udvidet med risiko for kompromis (risiko for flow) og også tilføjet understøttelse af nye typer trusler: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT og NDPI_ANONYMOUS_SUBSCRIBER.
Tilføjet ndpi_check_flow_risk_exceptions()-funktionen for at aktivere netværkstrussel-behandlere, samt to nye privatlivsniveauer er blevet tilføjet: NDPI_CONFIDENCE_DPI_PARTIAL og NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Det fremhæves også, at opdaterede bindinger til python-sprog, den interne implementering af hashmap er blevet erstattet med uthash, ligesom opdelingen i netværksprotokoller (for eksempel TLS) og applikationsprotokoller (for eksempel Google-tjenester) og skabelonen til at definere brugen er tilføjet Cloudflares WARP-tjeneste.
På den anden side bemærkes også, at tilføjet protokoldetektion for:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- indsamlet
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- GoTo-produkter (hovedsageligt GoToMeeting)
- Dazn
- MPEG-DASH
- Agora Software Defined Real-Time Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Af de andre ændringer der skiller sig ud for denne nye version:
- Rettelser til nogle protokolklassificeringsfamilier.
- Faste standardprotokolporte til e-mail-protokoller
- Forskellige hukommelses- og overløbsrettelser
- Forskellige risici deaktiveret for specifikke protokoller (f.eks. deaktiver manglende ALPN for CiscoVPN)
- Fix TZSP-dekapsulation
- Opdater ASN/IP-lister
- Forbedret kodeprofilering
- Brug Doxygen til at generere API-dokumentation
- Edgecast og Cachefly CDN'er tilføjet.
Endelig hvis du er interesseret i at vide mere om det Om denne nye version kan du kontrollere detaljerne i følgende link.
Hvordan installeres nDPI på Linux?
For dem, der er interesseret i at kunne installere dette værktøj på deres system, kan de gøre det ved at følge instruktionerne, som vi deler nedenfor.
For at installere værktøjet, vi skal downloade kildekoden og kompilere den, men før det, hvis de er Debian-, Ubuntu- eller afledte brugere Af disse skal vi først installere følgende:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
I tilfælde af dem der er Arch Linux-brugere:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Nu, for at kompilere, skal vi downloade kildekoden, som du kan få ved at skrive:
git clone https://github.com/ntop/nDPI.git cd nDPI
Og vi fortsætter med at kompilere værktøjet ved at skrive:
./autogen.sh make
Hvis du er interesseret i at vide mere om brugen af værktøjet, kan du evt tjek følgende link.