Az nDPI® egy nyílt forráskódú LGPLv3 könyvtár a csomagok mélyreható vizsgálatához. OpenDPI alapján, ntop kiterjesztést tartalmaz.
A az nDPI 4.6 új verziójának kiadása amely számos fejlesztést vezet be, valamint több protokollt és robusztusságot támogat az ebben a verzióban bevezetett zavaros kódnak köszönhetően. A protokoll-metaadatok kinyerését több protokollon keresztül javították, ahogy többek között a gazdagépnevekben a DGA-felismerést is.
nDPI Jellemzője, hogy az ntop és az nProbe egyaránt használja a protokoll észlelésének hozzáadására az alkalmazás rétegében, függetlenül a használt porttól. Ez azt jelenti, hogy lehetséges az ismert protokollok észlelése a nem szabványos portokon.
A projekt lehetővé teszi a forgalomban használt alkalmazás szintű protokollok meghatározását a hálózati tevékenység jellegének elemzése nélkül, a hálózati portokhoz való kötődés nélkül (meghatározhatja azokat az ismert protokollokat, amelyek illesztőprogramjai nem szabványos hálózati portokon fogadják a kapcsolatokat, például ha a http-t nem a 80-as portról küldik, vagy éppen ellenkezőleg, amikor más álcázást próbálnak végrehajtani hálózati tevékenység, például a 80 -as porton futó http).
Az nDPI 4.6 főbb újdonságai
Az nDPI 4.6 új kiadásában lehetőséget biztosított egyéni protokollok meghatározására nBPF szűrők segítségével (például: 'nbpf:»host 192.168.1.1 és port 80"@HomeRouter').
is a forgalomelemzés teljesítménye jelentősen javult, valamint a WebShell és PHP kód észlelése a HTTP URL-ekben és a DGA (Domain Generation Algorithm) meghatározása.
Bővült az észlelt hálózati fenyegetések és problémák köre kötelezettségvállalási kockázattal (áramlási kockázattal) kapcsolatos. Új fenyegetéstípusok támogatása hozzáadva: NDPI_HTTP_OBSOLETE_SERVER (érzékeli az Apache és az nginx régi verzióit), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Az új verzióban bemutatott másik újdonság a fuzzing teszteket hajtottak végre az AES-NI utasítások továbbfejlesztett ellenőrzésével és a JSON formátumú adatsorosítással kapcsolatos fejlesztésekkel együtt.
Másrészt azt is kiemelik, hogy hozzáadott statisztikák Patricia, Ahocarasick és LRU gyorsítótárhoz, valamint a konfigurálható LRU-gyorsítótár-bejegyzés öregedési logikája, az RTP-folyamok támogatása a metaadatok adatfolyamához, valamint az, hogy az ndpiReader segédprogram támogatja a Linux Cooked Capture v2 protokollt.
A protokollok és szolgáltatások támogatási kiegészítései részéről:
- Activision
- AliCloud szerver hozzáférés
- Avast
- CryNetwork
- Anydesk
- Bittorrent (javítási bizalom, észlelés TCP-n keresztül)
- DNS, adjon hozzá a fordított címfeloldáshoz használt DNS PTR rekordok dekódolásának képességét
- DTLS (tanúsítványtöredékek kezelése)
- Facebook VoIP hívások
- FastCGI (paraméterek szétválasztása)
- FortiClient (az alapértelmezett portok frissítése)
- Viszály
- edns
- Elasticsearch
- FastCGI
- sors
- Liane App és Line VoIP hívások
- Meraki felhő
- muanin
- NATPMP
- HTTP alosztályozás
- Ellenőrizze, hogy nincs-e üres/hiányzó user-agent a HTTP-ben
- IRC (hitelesítő adatok ellenőrzése)
- Jabber / XMPP
- Kerberos (Krb-Error üzenetek támogatása)
- LDAP
- MGCP
- MONGODB (kerülje a hamis pozitív eredményeket)
- Syncthing
- TP-LINK Smart Home
- AZ ÖN LAN
- SoftEtherVPN
- Farok skála
- TiVoConnect
- SNMP
- SMB (több TCP-szegmensre osztott üzenetek támogatása)
- SMTP (az X-ANONYMOUSTLS parancs támogatása)
- KÁBÍTÁS
- SKYPE (az UDP-n keresztüli észlelés javítása, a TCP-n keresztüli észlelés eltávolítása)
- Teamspeak3 (licenc/weblista észlelése)
- Threema Messenger
- Zoomolás
- Nagyítás képernyőmegosztás észlelése hozzáadása
- Adja hozzá a zoom peer-to-peer folyamok észlelését a STUN-ban
- Hangout/Duo Voip hívásészlelés, optimalizálja a kereséseket a protokollfában
- HTTP
- A HTTP-proxy és a HTTP-Connect kezelése
- postgres
- POP3
- QUIC (a kezdeti előtt kapott 0-RTT csomagok támogatása)
- Snapchat VoIP hívások
Végül ha érdekel, hogy többet tudjon meg róla Az új verzióról a részleteket a következő link.
Hogyan telepítsem az nDPI-t Linuxra?
Azok számára, akik szeretnék telepíteni ezt az eszközt a rendszerükre, ezt az alábbi utasítások követésével tehetik meg.
A szerszám telepítéséhez le kell töltenünk a forráskódot és le kell fordítanunk, de előtte, ha azok Debian, Ubuntu vagy származékos felhasználók Ezek közül először a következőket kell telepítenünk:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Azok esetében, amelyek vannak Arch Linux felhasználók:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Most a fordításhoz le kell töltenünk a forráskódot, amelyet a következő beírásával szerezhet meg:
git clone https://github.com/ntop/nDPI.git cd nDPI
És folytatjuk az eszköz összeállítását a következő beírásával:
./autogen.sh make
Ha többet szeretne megtudni az eszköz használatáról, megteheti ellenőrizze a következő linket.