nDPI® est une bibliothèque LGPLv3 open source pour l'inspection approfondie des paquets. Basé sur OpenDPI, inclut les extensions ntop.
le sortie de la nouvelle version de nDPI 4.6 qui introduit plusieurs améliorations, ainsi que la prise en charge de plus de protocoles et de robustesse grâce au code de fuzzing introduit dans cette version. L'extraction des métadonnées de protocole a été améliorée sur plusieurs protocoles, tout comme la détection DGA dans les noms d'hôte, entre autres.
nDPI Il se caractérise par son utilisation à la fois par ntop et nProbe pour ajouter la détection de protocoles au niveau de la couche application, quel que soit le port utilisé. Cela signifie qu'il est possible de détecter des protocoles connus sur des ports non standard.
Le projet vous permet de déterminer les protocoles de niveau application utilisés dans le trafic en analysant la nature de l'activité réseau sans liaison aux ports réseau (vous pouvez déterminer les protocoles connus dont les pilotes acceptent les connexions sur des ports réseau non standard, par exemple si http n'est pas envoyé depuis le port 80, ou, au contraire, lorsqu'ils essaient de camoufler d'autres activité réseau telle que http s'exécutant sur le port 80).
Principales nouveautés du nDPI 4.6
Dans la nouvelle version de nDPI 4.6, possibilité de définir des protocoles personnalisés à l'aide de filtres nBPF (par exemple : 'nbpf:»hôte 192.168.1.1 et port 80″@HomeRouter').
Aussi les performances d'analyse du trafic ont été grandement améliorées, ainsi que la détection de code WebShell et PHP dans les URL HTTP et la définition de DGA (Domain Generational Algorithm).
La gamme de menaces et de problèmes réseau détectés a été élargie associé au risque d'engagement (risque de flux). Ajout de la prise en charge de nouveaux types de menaces : NDPI_HTTP_OBSOLETE_SERVER (détecte les anciennes versions d'Apache et de nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Une autre nouveauté qui est présentée dans cette nouvelle version sont les tests de fuzzing mis en place ainsi qu'une meilleure vérification des instructions AES-NI et des améliorations apportées à la sérialisation des données au format JSON.
D'autre part, il est également souligné que ajout de statistiques pour Patricia, Ahocarasick et le cache LRU, ainsi que la logique de vieillissement des entrées de cache LRU configurable, la prise en charge des flux RTP pour diffuser les métadonnées et que l'utilitaire ndpiReader implémente la prise en charge du protocole Linux Cooked Capture v2.
Du côté des ajouts de support pour les protocoles et les services :
- Activision
- Accès au serveur AliCloud
- AVAST
- Réseau de cris
- Anydesk
- Bittorrent (confiance fixe, détection sur TCP)
- DNS, ajouter la possibilité de décoder les enregistrements DNS PTR utilisés pour la résolution d'adresse inverse
- DTLS (gestion des fragments de certificat)
- Appels VoIP Facebook
- FastCGI (disséquer PARAMS)
- FortiClient (mettre à jour les ports par défaut)
- Discorde
- EDNS
- ElasticSearch
- FastCGI
- Kismet
- Appels Liane App et Line VoIP
- Nuage Meraki
- muanine
- NATPMP
- Sous-classification HTTP
- Vérifier l'agent utilisateur vide/manquant dans HTTP
- IRC (vérification des informations d'identification)
- Jabber / XMPP
- Kerberos (prise en charge des messages d'erreur Krb)
- LDAP
- MGCP
- MONGODB (éviter les faux positifs)
- Syncthing
- Maison intelligente TP-LINK
- VOTRE LAN
- SoftEther VPN
- Échelle de queue
- TiVoConnect
- SNMP
- SMB (prise en charge des messages divisés en plusieurs segments TCP)
- SMTP (prise en charge de la commande X-ANONYMOUSTLS)
- ÉTOURDIR
- SKYPE (améliorer la détection sur UDP, supprimer la détection sur TCP)
- Teamspeak3 (Détection de licence/liste Web)
- Messager de Threema
- Zoom
- Ajouter la détection de partage d'écran Zoom
- Ajout de la détection des flux peer-to-peer Zoom dans STUN
- Détection des appels Hangout/Duo Voip, optimisation des recherches dans l'arborescence des protocoles
- HTTP
- Gestion de HTTP-Proxy et HTTP-Connect
- Postgres
- POP3
- QUIC (prise en charge des paquets 0-RTT reçus avant l'initial)
- Appels VoIP Snapchat
Enfin si vous souhaitez en savoir plus A propos de cette nouvelle version, vous pouvez vérifier les détails dans le lien suivant
Comment installer nDPI sur Linux ?
Pour ceux qui souhaitent pouvoir installer cet outil sur leur système, ils peuvent le faire en suivant les instructions que nous partageons ci-dessous.
Pour installer l'outil, il faut télécharger le code source et le compiler, mais avant cela s'ils sont Utilisateurs Debian, Ubuntu ou dérivés Parmi ceux-ci, nous devons d'abord installer les éléments suivants :
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Dans le cas de ceux qui sont Utilisateurs d'Arch Linux :
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Maintenant, pour compiler, nous devons télécharger le code source, que vous pouvez obtenir en tapant :
git clone https://github.com/ntop/nDPI.git cd nDPI
Et nous procédons à la compilation de l'outil en tapant :
./autogen.sh make
Si vous souhaitez en savoir plus sur l'utilisation de l'outil, vous pouvez vérifiez le lien suivant.