nDPI 4.6 arriva con il supporto per nuovi protocolli, servizi e altro ancora

Darkcrizt

4 minuti

nDPI

nDPI® è una libreria LGPLv3 open source per l'ispezione approfondita dei pacchetti. Basato su OpenDPI, include estensioni ntop.

Il rilascio della nuova versione di nDPI 4.6 che introduce diversi miglioramenti, oltre al supporto per più protocolli e robustezza grazie al codice fuzzing introdotto in questa versione. L'estrazione dei metadati del protocollo è stata migliorata in diversi protocolli, così come il rilevamento DGA nei nomi host, tra le altre cose.

nDPI Si caratterizza per essere utilizzato sia da ntop che da nProbe per aggiungere il rilevamento dei protocolli a livello di applicazione, indipendentemente dalla porta utilizzata. Ciò significa che è possibile rilevare protocolli noti su porte non standard.

El proyecto consente di determinare i protocolli a livello di applicazione utilizzati nel traffico analizzando la natura dell'attività di rete senza vincolarsi alle porte di rete (è possibile determinare protocolli noti i cui driver accettano connessioni su porte di rete non standard, ad esempio se http viene inviato non dalla porta 80 o, al contrario, quando cercano di camuffare altri attività di rete come http in esecuzione sulla porta 80).

Principali nuove funzionalità di nDPI 4.6

Nella nuova versione di nDPI 4.6, fornito la possibilità di definire protocolli personalizzati utilizzando i filtri nBPF (ad esempio: 'nbpf:»host 192.168.1.1 e porta 80″@HomeRouter').

Pure le prestazioni di analisi del traffico sono state notevolmente migliorate, così come il rilevamento del codice WebShell e PHP negli URL HTTP e la definizione di DGA (Domain Generational Algorithm).

La gamma di minacce e problemi di rete rilevati è stata ampliata associato al rischio di impegno (rischio di flusso). Aggiunto il supporto per i nuovi tipi di minacce: NDPI_HTTP_OBSOLETE_SERVER (rileva le vecchie versioni di Apache e nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Un'altra novità che viene presentata in questa nuova versione sono i test fuzzing implementati insieme a un migliore controllo delle istruzioni AES-NI e miglioramenti apportati alla serializzazione dei dati in formato JSON.

D'altra parte, si evidenzia anche che aggiunte statistiche per Patricia, Ahocarasick e cache LRU, oltre alla logica di invecchiamento della voce della cache LRU configurabile, supporto per flussi RTP per lo streaming di metadati e che l'utilità ndpiReader implementa il supporto per il protocollo Linux Cooked Capture v2.

Da parte delle integrazioni di supporto per protocolli e servizi:

  • Activision
  • Accesso al server AliCloud
  • AVAST
  • CryNetwork
  • Qualsiasi scrivania
  • Bittorrent (fissa fiducia, rilevamento su TCP)
  • DNS, aggiunta la possibilità di decodificare i record PTR DNS utilizzati per la risoluzione degli indirizzi inversi
  • DTLS (gestire i frammenti di certificato)
  • Chiamate VoIP di Facebook
  • FastCGI (dissezione PARAMS)
  • FortiClient (aggiorna le porte predefinite)
  • Discordia
  • edns
  • elasticsearch
  • Fast CGI
  • Destino
  • Chiamate Liane App e Linea VoIP
  • Meraki Nube
  • muanin
  • NATPMP
  • Sottoclassificazione HTTP
  • Verifica la presenza di user-agent vuoto/mancante in HTTP
  • IRC (controllo delle credenziali)
  • Jabber / XMPP
  • Kerberos (supporto per i messaggi Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (evita i falsi positivi)
  • Syncthing
  • Casa intelligente TP-LINK
  • LA TUA LAN
  • SoftEtherVPN
  • Scaglia di coda
  • TiVoConnect
  • SNMP
  • SMB (supporto per messaggi suddivisi in più segmenti TCP)
  • SMTP (supporto per il comando X-ANONYMOUSTLS)
  • STORDIRE
  • SKYPE (migliora il rilevamento su UDP, rimuove il rilevamento su TCP)
  • Teamspeak3 (Rilevamento licenze/Weblist)
  • Messaggero Threema
  • Zoom
  • Aggiungi il rilevamento della condivisione dello schermo Zoom
  • Aggiungi il rilevamento dei flussi peer-to-peer di Zoom in STUN
  • Rilevamento delle chiamate Hangout/Duo Voip, ottimizzazione delle ricerche nell'albero dei protocolli
  • HTTP
  • Gestione di HTTP-Proxy e HTTP-Connect
  • Postgres
  • POP3
  • QUIC (supporto per pacchetti 0-RTT ricevuti prima dell'iniziale)
  • Chiamate VoIP Snapchat

Infine se sei interessato a saperne di più A proposito di questa nuova versione, puoi controllare i dettagli nel in seguente link

Come installare nDPI su Linux?

Per coloro che sono interessati a poter installare questo strumento sul proprio sistema, possono farlo seguendo le istruzioni che condividiamo di seguito.

Per installare lo strumento, dobbiamo scaricare il codice sorgente e compilarlo, ma prima se lo sono Utenti Debian, Ubuntu o derivati Di questi, dobbiamo prima installare quanto segue:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Nel caso di quelli che lo sono Utenti Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Ora, per poter compilare, dobbiamo scaricare il codice sorgente, che puoi ottenere digitando:

git clone https://github.com/ntop/nDPI.git

cd nDPI

E procediamo alla compilazione dello strumento digitando:

./autogen.sh
make

Se sei interessato a saperne di più sull'uso dello strumento, puoi farlo controllare il seguente collegamento.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile del trattamento: AB Internet Networks 2008 SL
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.