nDPI 4.4 arrive avec un support de protocole amélioré et plus encore

Darkcrizt

Minutes 4

Les développeurs de projets ntop (qui développent des outils pour capter et analyser le trafic) fait connaître récemment publié la nouvelle version de nDPI 4.4, qui est un sur-ensemble de maintenance continue de la bibliothèque populaire OpenDP.

nDPI Il se caractérise par son utilisation à la fois par ntop et nProbe pour ajouter la détection de protocoles au niveau de la couche application, quel que soit le port utilisé. Cela signifie qu'il est possible de détecter des protocoles connus sur des ports non standard.

Le projet vous permet de déterminer les protocoles de niveau application utilisés dans le trafic en analysant la nature de l'activité réseau sans liaison aux ports réseau (vous pouvez déterminer les protocoles connus dont les pilotes acceptent les connexions sur des ports réseau non standard, par exemple si http n'est pas envoyé depuis le port 80, ou, au contraire, lorsqu'ils essaient de camoufler d'autres activité réseau telle que http s'exécutant sur le port 80).

Les différences avec OpenDPI sont réduites à la prise en charge de protocoles supplémentaires, portabilité pour la plate-forme Windows, optimisation des performances, adaptation pour une utilisation dans des applications pour surveiller le trafic en temps réel (certaines fonctionnalités spécifiques qui ralentissaient le moteur ont été supprimées), capacités de construction sous la forme d'un module de noyau Linux et prise en charge de la définition de sous -protocoles.

Principales nouveautés du nDPI 4.4

Dans cette nouvelle version qui est présentée il est à noter que des métadonnées ont été ajoutées avec des informations sur la raison de l'appel du contrôleur pour une menace particulière.

Un autre changement important est dans l'implémentation intégrée de gcrypt qui est activée par défauta (l'option --with-libgcrypt est suggérée pour utiliser l'implémentation du système).

En plus de cela, il est également souligné que la gamme des menaces réseau détectées et des problèmes associés a été élargie avec le risque de compromission (risque de flux) et également prise en charge de nouveaux types de menaces : NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT et NDPI_ANONYMOUS_SUBSCRIBER.

Ajoutée la fonction ndpi_check_flow_risk_exceptions() pour activer les gestionnaires de menaces réseau, ainsi que deux nouveaux niveaux de confidentialité ont été ajoutés : NDPI_CONFIDENCE_DPI_PARTIAL et NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.

Il est également souligné que liaisons mises à jour pour le langage python, l'implémentation interne de hashmap a été remplacée par uthash, ainsi que la division en protocoles réseau (par exemple, TLS) et protocoles d'application (par exemple, les services Google) et le modèle pour définir l'utilisation a été ajouté le service WARP de Cloudflare.

D'autre part, on note également que détection de protocole ajoutée pour :

  • UltraSurf
  • i3D
  • Riot Games
  • tsan
  • TunnelBear VPN
  • collecté
  • PIM (multidiffusion indépendante du protocole)
  • Multidiffusion générale pragmatique (PGM)
  • RSH
  • Produits GoTo (principalement GoToMeeting)
  • Dazn
  • MPEG-DASH
  • Réseau en temps réel défini par logiciel Agora (SD-RTN)
  • Toca Boca
  • VXLAN
  • DMNS/LLMNR

Des autres changements qui se démarquent pour cette nouvelle version :

  • Corrections pour certaines familles de classification de protocoles.
  • Ports de protocole par défaut fixes pour les protocoles de messagerie
  • Divers correctifs de mémoire et de débordement
  • Divers risques désactivés pour des protocoles spécifiques (par exemple, désactiver l'ALPN manquant pour CiscoVPN)
  • Correction de la décapsulation TZSP
  • Mettre à jour les listes ASN/IP
  • Profilage de code amélioré
  • Utiliser Doxygen pour générer la documentation de l'API
  • CDN Edgecast et Cachefly ajoutés.

Enfin si vous souhaitez en savoir plus A propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant

Comment installer nDPI sur Linux ?

Pour ceux qui souhaitent pouvoir installer cet outil sur leur système, ils peuvent le faire en suivant les instructions que nous partageons ci-dessous.

Pour installer l'outil, il faut télécharger le code source et le compiler, mais avant cela s'ils sont Utilisateurs Debian, Ubuntu ou dérivés Parmi ceux-ci, nous devons d'abord installer les éléments suivants :

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Dans le cas de ceux qui sont Utilisateurs d'Arch Linux :

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Maintenant, pour compiler, nous devons télécharger le code source, que vous pouvez obtenir en tapant :

git clone https://github.com/ntop/nDPI.git

cd nDPI

Et nous procédons à la compilation de l'outil en tapant :

./autogen.sh
make

Si vous souhaitez en savoir plus sur l'utilisation de l'outil, vous pouvez vérifiez le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.