Die ntop-Projektentwickler (die Tools zur Erfassung und Analyse von Datenverkehr entwickeln) bekannt gemacht vor kurzem veröffentlicht die neue Version von nDPI 4.4, die eine fortlaufende Wartungsobermenge der beliebten OpenDP-Bibliothek ist.
nDPI Es zeichnet sich dadurch aus, dass es sowohl von ntop als auch von nProbe verwendet wird, um eine Protokollerkennung hinzuzufügen auf der Anwendungsebene, unabhängig vom verwendeten Port. Dadurch ist es möglich, bekannte Protokolle auf nicht standardmäßigen Ports zu erkennen.
Das Projekt ermöglicht es Ihnen, die im Datenverkehr verwendeten Protokolle auf Anwendungsebene zu bestimmen indem Sie die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports zu binden (Sie können bekannte Protokolle ermitteln, deren Treiber Verbindungen auf nicht standardmäßigen Netzwerkports akzeptieren, zum Beispiel wenn http nicht von Port 80 gesendet wird oder umgekehrt versucht wird, andere zu tarnen Netzwerkaktivität wie HTTP auf Port 80).
Die Unterschiede zu OpenDPI reduzieren sich auf die Unterstützung zusätzlicher Protokolle, Portabilität für die Windows-Plattform, Leistungsoptimierung, Anpassung für den Einsatz in Anwendungen zur Überwachung des Datenverkehrs in Echtzeit (einige spezifische Funktionen, die die Engine verlangsamten, wurden entfernt), Build-Fähigkeiten in Form eines Linux-Kernel-Moduls und Unterstützung für die Definition von Sub -Protokolle.
Wichtigste neue Funktionen von nDPI 4.4
In dieser neuen Version wird das vorgestellt Es wird darauf hingewiesen, dass Metadaten mit Informationen über den Grund für den Aufruf des Controllers hinzugefügt wurden für eine besondere Bedrohung.
Eine weitere wichtige Änderung ist in die integrierte Implementierung von gcrypt, die standardmäßig aktiviert ista (die Option --with-libgcrypt wird empfohlen, um die Systemimplementierung zu verwenden).
Darüber hinaus wird auch hervorgehoben, dass Der Bereich der erkannten Netzwerkbedrohungen und der damit verbundenen Probleme wurde erweitert mit dem Risiko einer Kompromittierung (Risiko des Flusses) und auch zusätzlicher Unterstützung für neue Arten von Bedrohungen: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT und NDPI_ANONYMOUS_SUBSCRIBER.
Hinzugefügt die ndpi_check_flow_risk_exceptions()-Funktion, um Netzwerk-Bedrohungs-Handler zu aktivieren, sowie zwei neue Datenschutzebenen wurden hinzugefügt: NDPI_CONFIDENCE_DPI_PARTIAL und NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Es wird auch hervorgehoben, dass aktualisierte Bindungen für die Python-Sprache, die interne Implementierung von hashmap wurde durch uthash ersetzt, sowie die Unterteilung in Netzwerkprotokolle (z. B. TLS) und Anwendungsprotokolle (z. B. Google-Dienste) und die Vorlage zur Definition der Verwendung des WARP-Dienstes von Cloudflare hinzugefügt.
Andererseits wird auch darauf hingewiesen Protokollerkennung hinzugefügt für:
- UltraSurf
- i3D
- Aufruhrspiele
- tsan
- TunnelBear VPN
- gesammelt
- PIM (Protokollunabhängiges Multicast)
- Pragmatisches allgemeines Multicast (PGM)
- RSH
- GoTo-Produkte (hauptsächlich GoToMeeting)
- Dazn
- MPEG-DASH
- Agora Softwaredefiniertes Echtzeitnetzwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Von den anderen Änderungen die sich für diese neue Version auszeichnen:
- Korrekturen für einige Protokollklassifizierungsfamilien.
- Standardprotokollports für E-Mail-Protokolle korrigiert
- Verschiedene Speicher- und Überlaufkorrekturen
- Verschiedene Risiken für bestimmte Protokolle deaktiviert (z. B. fehlendes ALPN für CiscoVPN deaktivieren)
- Korrigieren Sie die TZSP-Entkapselung
- Aktualisieren Sie ASN/IP-Listen
- Verbesserte Code-Profilerstellung
- Verwenden Sie Doxygen, um API-Dokumentation zu generieren
- Edgecast- und Cachefly-CDNs hinzugefügt.
Schließlich wenn Sie mehr darüber wissen möchten Über diese neue Version können Sie die Details in der folgenden Link
Wie installiere ich nDPI unter Linux?
Für diejenigen, die daran interessiert sind, dieses Tool auf ihrem System zu installieren, können sie dies tun, indem sie die unten stehenden Anweisungen befolgen.
Um das Tool zu installieren, Wir müssen den Quellcode herunterladen und kompilieren, aber davor, wenn sie es sind Benutzer von Debian, Ubuntu oder Derivaten Davon müssen wir zunächst Folgendes installieren:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Im Fall von denen, die sind Arch-Linux-Benutzer:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Jetzt müssen wir zum Kompilieren den Quellcode herunterladen, den Sie erhalten, indem Sie Folgendes eingeben:
git clone https://github.com/ntop/nDPI.git cd nDPI
Und wir kompilieren das Tool, indem wir Folgendes eingeben:
./autogen.sh make
Wenn Sie mehr über die Verwendung des Tools erfahren möchten, können Sie dies tun Überprüfen Sie den folgenden Link.