sok ntop projektfejlesztők (akik eszközöket fejlesztenek a forgalom rögzítésére és elemzésére) ismertté tették nemrég megjelent az nDPI 4.4 új verziója, amely a népszerű OpenDP könyvtár folyamatos karbantartási szuperszettje.
nDPI Jellemzője, hogy az ntop és az nProbe egyaránt használja a protokoll észlelésének hozzáadására az alkalmazás rétegében, függetlenül a használt porttól. Ez azt jelenti, hogy lehetséges az ismert protokollok észlelése a nem szabványos portokon.
A projekt lehetővé teszi a forgalomban használt alkalmazás szintű protokollok meghatározását a hálózati tevékenység jellegének elemzése nélkül, a hálózati portokhoz való kötődés nélkül (meghatározhatja azokat az ismert protokollokat, amelyek illesztőprogramjai nem szabványos hálózati portokon fogadják a kapcsolatokat, például ha a http-t nem a 80-as portról küldik, vagy éppen ellenkezőleg, amikor más álcázást próbálnak végrehajtani hálózati tevékenység, például a 80 -as porton futó http).
Az OpenDPI -vel való különbségek további protokollok támogatására csökkennek, a Windows platform hordozhatósága, teljesítményoptimalizálás, alkalmazásokhoz való alkalmazkodás a forgalom valós idejű megfigyelésére (néhány speciális funkció, amely lelassította a motort, eltávolításra került), képességek kiépítése Linux kernelmodul formájában és az aldefiníció támogatása -protokollok.
Az nDPI 4.4 főbb újdonságai
Ebben a bemutatott új verzióban kiemelve, hogy a metaadatok hozzáadásra kerültek a vezérlő felhívásának okával kapcsolatos információkkal egy adott fenyegetésre.
Egy másik fontos változás következik a gcrypt beépített megvalósítása, amely alapértelmezés szerint engedélyezve vana (a --with-libgcrypt opció javasolt a rendszer implementációjának használatához).
Ezen kívül kiemelik azt is az észlelt hálózati fenyegetések és a kapcsolódó problémák köre bővült a kompromittálódás kockázatával (az áramlás kockázata), valamint új típusú fenyegetések támogatásával: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT és NDPI_ANONYMOUS_SUBSCRIBER.
Hozzáadva az ndpi_check_flow_risk_exceptions() függvény a hálózati fenyegetéskezelők engedélyezéséhez, valamint két új adatvédelmi szint is hozzáadásra került: NDPI_CONFIDENCE_DPI_PARTIAL és NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Azt is kiemelik frissített kötések a python nyelvhez, a hashmap belső megvalósítását az uthash váltotta fel, valamint a hálózati protokollokra (például TLS) és az alkalmazásprotokollokra (például Google szolgáltatásokra) való felosztást és a felhasználást definiáló sablont is hozzáadta a Cloudflare WARP szolgáltatása.
Másrészt azt is megjegyzik hozzáadott protokoll észlelés a következőkhöz:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- összegyűjtött
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- HSR
- GoTo termékek (főleg GoToMeeting)
- Dazn
- MPEG-DASH
- Agora Software Defined Real-time Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
A többi változás közül amelyek kitűnnek az új verzióból:
- Javítások egyes protokoll-osztályozási családokhoz.
- Javítva az alapértelmezett protokollportok az e-mail protokollokhoz
- Különféle memória- és túlcsordulás-javítások
- Különféle kockázatok letiltva bizonyos protokollokhoz (például tiltsa le a hiányzó ALPN-t a CiscoVPN-hez)
- Javítsa ki a TZSP dekapszulációt
- Frissítse az ASN/IP listákat
- Továbbfejlesztett kódprofilozás
- A Doxygen segítségével állítsa elő az API-dokumentációt
- Edgecast és Cachefly CDN-ek hozzáadva.
Végül ha érdekel, hogy többet tudjon meg róla Az új verzióról a részleteket a következő link.
Hogyan telepítsem az nDPI-t Linuxra?
Azok számára, akik szeretnék telepíteni ezt az eszközt a rendszerükre, ezt az alábbi utasítások követésével tehetik meg.
A szerszám telepítéséhez le kell töltenünk a forráskódot és le kell fordítanunk, de előtte, ha azok Debian, Ubuntu vagy származékos felhasználók Ezek közül először a következőket kell telepítenünk:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Azok esetében, amelyek vannak Arch Linux felhasználók:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Most a fordításhoz le kell töltenünk a forráskódot, amelyet a következő beírásával szerezhet meg:
git clone https://github.com/ntop/nDPI.git cd nDPI
És folytatjuk az eszköz összeállítását a következő beírásával:
./autogen.sh make
Ha többet szeretne megtudni az eszköz használatáról, megteheti ellenőrizze a következő linket.