nDPI®는 심층 패킷 검사를 위한 오픈 소스 LGPLv3 라이브러리입니다. OpenDPI를 기반으로 하며 ntop 확장을 포함합니다.
그만큼 nDPI 4.6 새 버전 출시 이 버전에 도입된 퍼징 코드 덕분에 몇 가지 개선 사항은 물론 더 많은 프로토콜과 견고성을 지원합니다. 무엇보다도 호스트 이름에서 DGA 감지와 마찬가지로 프로토콜 메타데이터 추출이 여러 프로토콜에서 개선되었습니다.
nDPI 프로토콜 감지 기능을 추가하기 위해 ntop과 nProbe에서 모두 사용하는 것이 특징입니다. 사용되는 포트에 관계없이 응용 프로그램 계층에서. 이는 비표준 포트에서 알려진 프로토콜을 감지할 수 있음을 의미합니다.
프로젝트 트래픽에 사용되는 애플리케이션 수준 프로토콜을 결정할 수 있습니다. 네트워크 포트에 바인딩하지 않고 네트워크 활동의 특성을 분석하여(예를 들어 http가 포트 80에서 전송되지 않은 경우 또는 반대로 다른 사용자를 위장하려고 할 때와 같이 드라이버가 비표준 네트워크 포트에서 연결을 허용하는 알려진 프로토콜을 결정할 수 있습니다. 포트 80에서 실행되는 http와 같은 네트워크 활동).
nDPI 4.6의 주요 새 기능
nDPI 4.6의 새 릴리스에서는 nBPF 필터를 사용하여 사용자 지정 프로토콜을 정의하는 기능 제공 (예: 'nbpf:»호스트 192.168.1.1 및 포트 80″@HomeRouter').
또한 트래픽 분석 성능이 크게 향상되었으며, HTTP URL에서 WebShell 및 PHP 코드 감지 및 DGA(Domain Generational Algorithm) 정의.
탐지된 네트워크 위협 및 문제의 범위가 확장되었습니다. 약속 위험(흐름 위험)과 관련됩니다. 새로운 위협 유형에 대한 지원 추가: NDPI_HTTP_OBSOLETE_SERVER(이전 버전의 Apache 및 nginx 감지), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
이 새 버전에서 제공되는 또 다른 참신함은 퍼징 테스트 구현 AES-NI 명령의 향상된 검사 및 JSON 형식의 데이터 직렬화에 대한 개선 사항과 함께.
한편 강조하기도 한다. Patricia, Ahokarasick 및 LRU 캐시에 대한 통계 추가, 뿐만 아니라 구성 가능한 LRU 캐시 항목 에이징 로직, 스트리밍 메타데이터에 대한 RTP 스트림 지원, ndpiReader 유틸리티는 Linux Cooked Capture v2 프로토콜에 대한 지원을 구현합니다.
프로토콜 및 서비스에 대한 지원 추가 부분에서:
- Activision
- AliCloud 서버 접속
- 노 젓는 걸
- 크라이네트워크
- 애니데스크
- Bittorrent(신뢰도 수정, TCP를 통한 탐지)
- DNS, 역방향 주소 확인에 사용되는 DNS PTR 레코드를 디코딩하는 기능 추가
- DTLS(인증서 조각 처리)
- 페이스북 VoIP 통화
- FastCGI(PARAMS 분석)
- FortiClient(기본 포트 업데이트)
- 디스코드
- EDN
- 탄성 검색
- 빠른CGI
- 알라의 의지
- Liane 앱 및 Line VoIP 통화
- 메라키 클라우드
- 무아닌
- NATPMP
- HTTP 하위 분류
- HTTP에서 비어 있거나 누락된 사용자 에이전트 확인
- IRC(자격증명 확인)
- 지껄임 / XMPP
- Kerberos(Krb 오류 메시지 지원)
- LDAP
- MGCP
- MONGODB(가양성 방지)
- 싱킹
- TP-LINK 스마트 홈
- 당신의 LAN
- 소프트이더 VPN
- 꼬리 비늘
- 티보커넥트
- SNMP
- SMB(여러 TCP 세그먼트로 분할된 메시지 지원)
- SMTP(X-ANONYMOUSTLS 명령 지원)
- 충격
- SKYPE(UDP를 통한 탐지 개선, TCP를 통한 탐지 제거)
- Teamspeak3(라이선스/웹 목록 감지)
- 쓰리마 메신저
- 줌
- Zoom 화면 공유 감지 추가
- STUN에서 Zoom PXNUMXP 흐름 감지 기능 추가
- Hangout/Duo Voip 통화 감지, 프로토콜 트리에서 조회 최적화
- HTTP
- HTTP 프록시 및 HTTP 연결 처리
- 포스트그레스
- POP3
- QUIC(이니셜 이전에 수신된 0-RTT 패킷 지원)
- Snapchat VoIP 통화
최종적으로 그것에 대해 더 많이 알고 싶다면 이 새 버전에 대한 자세한 내용은 다음 링크.
Linux에 nDPI를 설치하는 방법은 무엇입니까?
시스템에 이 도구를 설치하는 데 관심이 있는 사용자는 아래에서 공유하는 지침에 따라 설치할 수 있습니다.
도구를 설치하려면, 소스 코드를 다운로드하고 컴파일해야 합니다., 하지만 그 전에 Debian, Ubuntu 또는 파생 사용자 이 중 먼저 다음을 설치해야 합니다.
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
그 경우 아치 리눅스 사용자:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
이제 컴파일하려면 소스 코드를 다운로드해야 합니다. 소스 코드는 다음을 입력하여 얻을 수 있습니다.
git clone https://github.com/ntop/nDPI.git cd nDPI
그리고 다음을 입력하여 도구 컴파일을 진행합니다.
./autogen.sh make
도구 사용에 대해 더 알고 싶다면 다음 링크를 확인하십시오.