nDPI 4.6 kommt mit Unterstützung für neue Protokolle, Dienste und mehr

Darkcrizt

4 Minuten

nDPI

nDPI® ist eine Open-Source-LGPLv3-Bibliothek für Deep Packet Inspection. Basierend auf OpenDPI, enthält ntop-Erweiterungen.

Der Veröffentlichung der neuen Version von nDPI 4.6 die mehrere Verbesserungen sowie Unterstützung für mehr Protokolle und Robustheit dank des in dieser Version eingeführten Fuzzing-Codes einführt. Die Extraktion von Protokollmetadaten wurde über mehrere Protokolle hinweg verbessert, ebenso wie unter anderem die DGA-Erkennung in Hostnamen.

nDPI Es zeichnet sich dadurch aus, dass es sowohl von ntop als auch von nProbe verwendet wird, um eine Protokollerkennung hinzuzufügen auf der Anwendungsebene, unabhängig vom verwendeten Port. Dadurch ist es möglich, bekannte Protokolle auf nicht standardmäßigen Ports zu erkennen.

Das Projekt ermöglicht es Ihnen, die im Datenverkehr verwendeten Protokolle auf Anwendungsebene zu bestimmen indem Sie die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports zu binden (Sie können bekannte Protokolle ermitteln, deren Treiber Verbindungen auf nicht standardmäßigen Netzwerkports akzeptieren, zum Beispiel wenn http nicht von Port 80 gesendet wird oder umgekehrt versucht wird, andere zu tarnen Netzwerkaktivität wie HTTP auf Port 80).

Wichtigste neue Funktionen von nDPI 4.6

In der neuen Version von nDPI 4.6, bietet die Möglichkeit, benutzerdefinierte Protokolle mit nBPF-Filtern zu definieren (Beispiel: 'nbpf:»Host 192.168.1.1 und Port 80″@HomeRouter').

Auch Die Leistung der Verkehrsanalyse wurde stark verbessert, sowie die Erkennung von WebShell- und PHP-Code in HTTP-URLs und die Definition von DGA (Domain Generational Algorithm).

Der Bereich der erkannten Netzwerkbedrohungen und -probleme wurde erweitert mit Bindungsrisiko (Fließrisiko) verbunden. Unterstützung für neue Bedrohungstypen hinzugefügt: NDPI_HTTP_OBSOLETE_SERVER (erkennt alte Versionen von Apache und nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Eine weitere Neuheit, die in dieser neuen Version vorgestellt wird, sind die Fuzzing-Tests implementiert zusammen mit einer verbesserten Überprüfung von AES-NI-Anweisungen und Verbesserungen an der Datenserialisierung im JSON-Format.

Andererseits wird auch hervorgehoben, dass Statistiken für Patricia, Ahocarasick und LRU-Cache hinzugefügt, sowie eine konfigurierbare Alterungslogik für LRU-Cacheeinträge, Unterstützung für RTP-Streams zum Streamen von Metadaten und dass das Dienstprogramm ndpiReader Unterstützung für das Cooked Capture v2-Protokoll von Linux implementiert.

Seitens der Support-Ergänzungen für Protokolle und Dienste:

  • Activision
  • AliCloud-Serverzugriff
  • Avast
  • Crynetwork
  • Anydesk
  • Bittorrent (Vertrauen beheben, Erkennung über TCP)
  • DNS, fügen Sie die Möglichkeit hinzu, DNS-PTR-Einträge zu decodieren, die für die umgekehrte Adressauflösung verwendet werden
  • DTLS (Zertifikatfragmente verarbeiten)
  • VoIP-Anrufe über Facebook
  • FastCGI (PARAMS sezieren)
  • FortiClient (Standardports aktualisieren)
  • Discord
  • Hrsg
  • Elasticsearch
  • SchnellCGI
  • Kismet
  • Liane App und Line VoIP-Anrufe
  • Meraki-Wolke
  • muanin
  • NATPMP
  • HTTP-Unterklassifizierung
  • Auf leeren/fehlenden User-Agent in HTTP prüfen
  • IRC (Berechtigungsprüfung)
  • Jabber / XMPP
  • Kerberos (Unterstützung für Krb-Fehlermeldungen)
  • LDAP
  • MGCP
  • MONGODB (falsch positive Ergebnisse vermeiden)
  • Synchronisieren
  • TP-Link Smart Home
  • IHR LAN
  • SoftEther-VPN
  • Schwanzschuppe
  • Tivoconnect
  • SNMP
  • SMB (Unterstützung für Nachrichten, die in mehrere TCP-Segmente aufgeteilt sind)
  • SMTP (Unterstützung für X-ANONYMOUSTLS-Befehl)
  • BETÄUBEN
  • SKYPE (Erkennung über UDP verbessern, Erkennung über TCP entfernen)
  • Teamspeak3 (Lizenz-/Weblistenerkennung)
  • Threema Messenger
  • Zoom
  • Fügen Sie die Zoom-Bildschirmfreigabeerkennung hinzu
  • Erkennung von Zoom-Peer-to-Peer-Flows in STUN hinzugefügt
  • Erkennung von Hangout-/Duo-Voip-Anrufen, optimierte Suche im Protokollbaum
  • HTTP
  • Umgang mit HTTP-Proxy und HTTP-Connect
  • Postgres
  • POP3
  • QUIC (Unterstützung für 0-RTT-Pakete, die vor dem ersten empfangen wurden)
  • Snapchat VoIP-Anrufe

Schließlich wenn Sie mehr darüber wissen möchten Über diese neue Version können Sie die Details in der folgenden Link

Wie installiere ich nDPI unter Linux?

Für diejenigen, die daran interessiert sind, dieses Tool auf ihrem System zu installieren, können sie dies tun, indem sie die unten stehenden Anweisungen befolgen.

Um das Tool zu installieren, Wir müssen den Quellcode herunterladen und kompilieren, aber davor, wenn sie es sind Benutzer von Debian, Ubuntu oder Derivaten Davon müssen wir zunächst Folgendes installieren:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Im Fall von denen, die sind Arch-Linux-Benutzer:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Jetzt müssen wir zum Kompilieren den Quellcode herunterladen, den Sie erhalten, indem Sie Folgendes eingeben:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Und wir kompilieren das Tool, indem wir Folgendes eingeben:

./autogen.sh
make

Wenn Sie mehr über die Verwendung des Tools erfahren möchten, können Sie dies tun Überprüfen Sie den folgenden Link.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.