nDPI 4.6 yra su naujų protokolų, paslaugų ir kt. palaikymu

Darkcrizt

4 minučių

nDPI

nDPI® yra atvirojo kodo LGPLv3 biblioteka, skirta giliai tikrinti paketus. Remiantis OpenDPI, apima ntop plėtinius.

The išleista nauja nDPI 4.6 versija kuriame pateikiami keli patobulinimai, taip pat daugiau protokolų ir patikimumo palaikymas dėl šioje versijoje pateikto neryškaus kodo. Protokolo metaduomenų ištraukimas buvo patobulintas keliuose protokoluose, kaip ir DGA aptikimas pagrindinio kompiuterio pavadinimuose, be kita ko.

nDPI Jis pasižymi tuo, kad jį naudoja ir ntop, ir nProbe, kad pridėtų protokolo aptikimą taikymo sluoksnyje, nepriklausomai nuo naudojamo prievado. Tai reiškia, kad žinomus protokolus galima aptikti nestandartiniuose prievaduose.

El proyecto leidžia nustatyti sraute naudojamus programos lygio protokolus analizuodami tinklo veiklos pobūdį neprisirišdami prie tinklo prievadų (galite nustatyti žinomus protokolus, kurių tvarkyklės priima ryšius nestandartiniuose tinklo prievaduose, pavyzdžiui, jei http siunčiamas ne iš 80 prievado, arba, priešingai, kai jie bando užmaskuoti kitus tinklo veikla, pvz., http, veikianti 80 prievade).

Pagrindinės naujos nDPI 4.6 savybės

Naujame nDPI 4.6 leidime, suteikta galimybė apibrėžti pasirinktinius protokolus naudojant nBPF filtrus (pavyzdžiui: 'nbpf:»host 192.168.1.1 ir prievadas 80"@HomeRouter').

Tambienas srauto analizės našumas labai pagerėjo, taip pat WebShell ir PHP kodų aptikimas HTTP URL adresuose ir DGA (Domain Generation Algorithm) apibrėžimas.

Buvo išplėstas aptiktų tinklo grėsmių ir problemų spektras susijusi su įsipareigojimų rizika (srauto rizika). Pridėtas naujų grėsmių tipų palaikymas: NDPI_HTTP_OBSOLETE_SERVER (aptinka senas Apache ir nginx versijas), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Dar viena naujovė, kuri pateikiama šioje naujoje versijoje, yra įdiegti neryškūs testai kartu su patobulintu AES-NI instrukcijų tikrinimu ir duomenų serializavimo patobulinimais JSON formatu.

Kita vertus, taip pat pabrėžiama, kad pridėta Patricia, Ahocarasick ir LRU talpyklos statistika, taip pat konfigūruojama LRU talpyklos įrašo senėjimo logika, RTP srautų palaikymas metaduomenų srautui perduoti, o „ndpiReader“ įrankis įgyvendina „Linux Cooked Capture v2“ protokolo palaikymą.

Dėl protokolų ir paslaugų palaikymo priedų:

  • "Activision
  • „AliCloud“ serverio prieiga
  • AVAST
  • CryNetwork
  • „Anydesk“
  • „Bittorrent“ (pataisyti pasitikėjimą, aptikimą per TCP)
  • DNS, pridėkite galimybę iššifruoti DNS PTR įrašus, naudojamus atvirkštiniam adresų sprendimui
  • DTLS (tvarkyti sertifikato fragmentus)
  • „Facebook“ VoIP skambučiai
  • FastCGI (išskirkite PARAMS)
  • „FortiClient“ (atnaujinti numatytuosius prievadus)
  • Nesantaika
  • edns
  • Elasticearch
  • „FastCGI“
  • Kismet
  • Liane App ir Line VoIP skambučiai
  • Meraki debesis
  • muaninas
  • NATPMP
  • HTTP subklasifikavimas
  • Patikrinkite, ar HTTP yra tuščias / trūkstamas vartotojo agentas
  • IRC (kredencialų patikrinimas)
  • Jabber / XMPP
  • Kerberos (Krb klaidų pranešimų palaikymas)
  • LDAP
  • MGCP
  • MONGODB (venkite klaidingų teigiamų rezultatų)
  • Sinchronizavimas
  • TP-LINK Smart Home
  • JŪSŲ LAN
  • „SoftEther“ VPN
  • Uodegos skalė
  • TiVoConnect
  • SNMP
  • SMB (pranešimų, padalintų į kelis TCP segmentus, palaikymas)
  • SMTP (X-ANONYMOUSTLS komandos palaikymas)
  • STUDINIS
  • SKYPE (patobulinkite aptikimą per UDP, pašalinkite aptikimą per TCP)
  • Teamspeak3 (licencijos / žiniatinklio sąrašo aptikimas)
  • Threema Messenger
  • Padidinti
  • Pridėkite mastelio keitimo ekrano bendrinimo aptikimą
  • Pridėkite mastelio keitimo lygiaverčių srautų aptikimą STUN
  • „Hangout“ / „Duo VoIP“ skambučių aptikimas, optimizuokite paieškas protokolų medyje
  • HTTP
  • HTTP-proxy ir HTTP-Connect tvarkymas
  • postgres
  • POP3
  • QUIC (0-RTT paketų, gautų prieš pradinį, palaikymas)
  • Snapchat VoIP skambučiai

Pagaliau jei norite sužinoti daugiau apie tai Apie šią naują versiją galite sužinoti išsamią informaciją sekanti nuoroda.

Kaip įdiegti nDPI „Linux“?

Tiems, kurie nori įdiegti šį įrankį savo sistemoje, jie gali tai padaryti vadovaudamiesi toliau pateiktomis instrukcijomis.

Norėdami įdiegti įrankį, turime atsisiųsti šaltinio kodą ir jį sukompiliuoti, bet prieš tai, jei jie yra „Debian“, „Ubuntu“ ar išvestinių programų vartotojai Iš jų pirmiausia turime įdiegti šiuos dalykus:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Tų atveju, kurie yra Arch Linux vartotojai:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Dabar, norėdami kompiliuoti, turime atsisiųsti šaltinio kodą, kurį galite gauti įvesdami:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Ir mes pradedame kompiliuoti įrankį įvesdami:

./autogen.sh
make

Jei norite sužinoti daugiau apie įrankio naudojimą, galite patikrinkite šią nuorodą.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.