nDPI 4.6 kommer med understøttelse af nye protokoller, tjenester og mere

Darkcrizt

4 minutter

nDPI

nDPI® er et open source LGPLv3-bibliotek til dyb pakkeinspektion. Baseret på OpenDPI, inkluderer ntop-udvidelser.

Det udgivelse af den nye version af nDPI 4.6 som introducerer adskillige forbedringer, samt understøttelse af flere protokoller og robusthed takket være den uklare kode introduceret i denne version. Protokolmetadataudtræk er blevet forbedret på tværs af flere protokoller, ligesom DGA-detektion i blandt andet værtsnavne er blevet forbedret.

nDPI Det er kendetegnet ved at blive brugt af både ntop og nProbe til at tilføje påvisning af protokoller på applikationslaget, uanset hvilken port der bruges. Det betyder, at kendte protokoller kan detekteres på ikke-standardporte.

Projektet giver dig mulighed for at bestemme de protokoller på applikationsniveau, der bruges i trafikken ved at analysere arten af ​​netværksaktivitet uden at binde sig til netværksporte (du kan bestemme kendte protokoller, hvis drivere accepterer forbindelser til ikke-standardiserede netværksporte, for eksempel hvis http ikke sendes fra port 80, eller omvendt, når de forsøger at camouflere andre netværksaktivitet, f.eks. http, der kører på port 80).

Nye vigtigste funktioner i nDPI 4.6

I den nye udgivelse af nDPI 4.6, givet mulighed for at definere brugerdefinerede protokoller ved hjælp af nBPF-filtre (for eksempel: 'nbpf:»host 192.168.1.1 og port 80″@HomeRouter').

også trafikanalyseydelsen er blevet væsentligt forbedret, samt detektering af WebShell- og PHP-kode i HTTP-URL'er og definitionen af ​​DGA (Domain Generational Algorithm).

Udvalget af opdagede netværkstrusler og -problemer er blevet udvidet forbundet med engagementsrisiko (flowrisiko). Tilføjet understøttelse af nye trusselstyper: NDPI_HTTP_OBSOLETE_SERVER (registrerer gamle versioner af Apache og nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

En anden nyhed, der præsenteres i denne nye version, er fuzzing tests implementeret sammen med forbedret kontrol af AES-NI-instruktioner og forbedringer af dataserialisering i JSON-format.

På den anden side fremhæves det også tilføjet statistik for Patricia, Ahocarasick og LRU cache, samt konfigurerbar LRU-cache-indtastningslogik, understøttelse af RTP-streams til at streame metadata, og at ndpiReader-værktøjet implementerer understøttelse af Linux Cooked Capture v2-protokollen.

På den side af supporttilføjelserne til protokoller og tjenester:

  • Activision
  • AliCloud serveradgang
  • Avast
  • CryNetwork
  • Anydesk
  • Bittorrent (fix tillid, detektion over TCP)
  • DNS, tilføj mulighed for at afkode DNS PTR-poster, der bruges til omvendt adresseopløsning
  • DTLS (håndter certifikatfragmenter)
  • Facebook VoIP -opkald
  • FastCGI (dissect PARAMS)
  • FortiClient (opdater standardporte)
  • Discord
  • edns
  • Elasticsearch
  • HurtigCGI
  • Kismet
  • Liane App og Line VoIP opkald
  • Meraki Cloud
  • muanin
  • NATPMP
  • HTTP underklassificering
  • Tjek for tom/manglende brugeragent i HTTP
  • IRC (legitimationskontrol)
  • Jabber / XMPP
  • Kerberos (understøttelse af Krb-fejlmeddelelser)
  • LDAP
  • MGCP
  • MONGODB (undgå falske positiver)
  • Syncthing
  • TP-LINK Smart Home
  • DIT LAN
  • SoftEtherVPN
  • Haleskala
  • TiVoConnect
  • SNMP
  • SMB (understøttelse af meddelelser opdelt i flere TCP-segmenter)
  • SMTP (understøttelse af X-ANONYMOUSTLS kommando)
  • STUN
  • SKYPE (forbedre detektion over UDP, fjern detektion over TCP)
  • Teamspeak3 (registrering af licens/webliste)
  • Threema Messenger
  • linse zoom
  • Tilføj registrering af zoomskærmdeling
  • Tilføj registrering af Zoom peer-to-peer flows i STUN
  • Hangout/Duo Voip-opkaldsregistrering, optimer opslag i protokoltræet
  • HTTP
  • Håndtering af HTTP-Proxy og HTTP-Connect
  • PostgreSQL
  • POP3
  • QUIC (understøttelse af 0-RTT-pakker modtaget før initialen)
  • Snapchat VoIP-opkald

Endelig hvis du er interesseret i at vide mere om det Om denne nye version kan du kontrollere detaljerne i følgende link.

Hvordan installeres nDPI på Linux?

For dem, der er interesseret i at kunne installere dette værktøj på deres system, kan de gøre det ved at følge instruktionerne, som vi deler nedenfor.

For at installere værktøjet, vi skal downloade kildekoden og kompilere den, men før det, hvis de er Debian-, Ubuntu- eller afledte brugere Af disse skal vi først installere følgende:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

I tilfælde af dem der er Arch Linux-brugere:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Nu, for at kompilere, skal vi downloade kildekoden, som du kan få ved at skrive:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Og vi fortsætter med at kompilere værktøjet ved at skrive:

./autogen.sh
make

Hvis du er interesseret i at vide mere om brugen af ​​værktøjet, kan du evt tjek følgende link.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.