nDPI® は、ディープ パケット インスペクション用のオープン ソース LGPLv3 ライブラリです。 OpenDPI に基づいており、ntop 拡張機能が含まれています。
ザ nDPI 4.6 の新しいバージョンのリリース これにより、いくつかの改善が導入され、このバージョンで導入されたファジング コードのおかげで、より多くのプロトコルと堅牢性がサポートされます。 プロトコル メタデータの抽出は、ホスト名での DGA 検出などと同様に、複数のプロトコルで改善されています。
ndPI これは、プロトコルの検出を追加するためにntopとnProbeの両方で使用されることを特徴としています。 使用されているポートに関係なく、アプリケーション層で。 これは、非標準ポートで既知のプロトコルを検出できることを意味します。
プロジェクト トラフィックで使用されるアプリケーションレベルのプロトコルを決定できます ネットワークポートにバインドせずにネットワークアクティビティの性質を分析することによって(たとえば、httpがポート80から送信されていない場合、または逆に、他のポートをカモフラージュしようとした場合など、ドライバーが非標準のネットワークポートで接続を受け入れる既知のプロトコルを特定できますポート80で実行されているhttpなどのネットワークアクティビティ)。
nDPI4.6の主な新機能
nDPI 4.6 の新しいリリースでは、 nBPF フィルタを使用してカスタム プロトコルを定義する機能を提供 (例: 「nbpf:»ホスト 192.168.1.1 およびポート 80″@HomeRouter」)。
また トラフィック分析のパフォーマンスが大幅に向上し、 HTTP URL 内の WebShell および PHP コードの検出、および DGA (ドメイン生成アルゴリズム) の定義も同様です。
検出されたネットワークの脅威と問題の範囲が拡大されました コミットメントリスク(フローリスク)に関連する。 新しい脅威タイプのサポートが追加されました: NDPI_HTTP_OBSOLETE_SERVER (古いバージョンの Apache と nginx を検出)、NDPI_PERIODIC_FLOW、NDPI_MINOR_ISSUES、NDPI_TCP_ISSUES。
この新しいバージョンで提示されるもう XNUMX つの目新しさは、 ファジングテストの実装 AES-NI 命令のチェックが改善され、JSON 形式でのデータのシリアル化が改善されました。
一方で、それはまた強調されています パトリシア、アホカラシック、LRU キャッシュの統計を追加、 構成可能な LRU キャッシュ エントリのエージング ロジック、メタデータをストリーミングするための RTP ストリームのサポート、および ndpiReader ユーティリティは、Linux Cooked Capture v2 プロトコルのサポートを実装します。
プロトコルとサービスのサポート追加の一部:
- Activision
- AliCloud サーバーへのアクセス
- Avastを
- クライネットワーク
- エニーデスク
- Bittorrent (信頼性の修正、TCP 経由の検出)
- DNS、逆アドレス解決に使用される DNS PTR レコードをデコードする機能を追加
- DTLS (証明書フラグメントの処理)
- FacebookのVoIP通話
- FastCGI (PARAMS の分析)
- FortiClient (デフォルト ポートの更新)
- Discord
- edns
- Elasticsearch
- 高速CGI
- 宿命
- Liane アプリとラインの VoIP 通話
- メラキ クラウド
- ムアニン
- NATPMP
- HTTP 下位分類
- HTTP で空または欠落しているユーザー エージェントを確認する
- IRC (資格証明チェック)
- Jabberの/ XMPP
- Kerberos (Krb-Error メッセージのサポート)
- LDAP
- MGCP
- MONGODB (誤検知を避ける)
- シンシケーション
- TP-LINK スマートホーム
- あなたのLAN
- SoftEtherVPN
- テールスケール
- TiVoコネクト
- SNMP
- SMB (複数の TCP セグメントに分割されたメッセージのサポート)
- SMTP (X-ANONYMOUSTLS コマンドのサポート)
- スタン
- SKYPE (UDP 経由の検出を改善し、TCP 経由の検出を削除)
- Teamspeak3 (ライセンス/Weblist 検出)
- スリーマメッセンジャー
- Zoom
- Zoom画面共有検出を追加
- STUN に Zoom ピアツーピア フローの検出を追加
- Hangout/Duo Voip 通話の検出、プロトコル ツリーでのルックアップの最適化
- HTTP
- HTTP-Proxy および HTTP-Connect の処理
- Postgres
- POP3
- QUIC (最初の前に受信した 0-RTT パケットのサポート)
- Snapchat VoIP 通話
最後に あなたがそれについてもっと知りたいなら この新しいバージョンについては、詳細を確認できます。 次のリンク。
LinuxにnDPIをインストールするにはどうすればいいですか?
このツールをシステムにインストールできるようにすることに関心がある場合は、以下で共有する手順に従ってインストールできます。
ツールをインストールするには、 ソースコードをダウンロードしてコンパイルする必要があります、しかしその前に Debian、Ubuntu、または派生ユーザー これらのうち、最初に以下をインストールする必要があります。
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
それらの場合 Arch Linuxユーザー:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
ここで、コンパイルするには、次のように入力して取得できるソースコードをダウンロードする必要があります。
git clone https://github.com/ntop/nDPI.git cd nDPI
そして、次のように入力してツールのコンパイルに進みます。
./autogen.sh make
ツールの使用法についてもっと知りたい場合は、次のことができます。 次のリンクを確認してください。