nDPI® ir atvērtā koda LGPLv3 bibliotēka dziļai pakešu pārbaudei. Pamatojoties uz OpenDPI, ietver ntop paplašinājumus.
The nDPI 4.6 jaunās versijas izlaišana kas ievieš vairākus uzlabojumus, kā arī atbalsta vairāk protokolu un robustumu, pateicoties šajā versijā ieviestajam neskaidrajam kodam. Vairākos protokolos ir uzlabota protokolu metadatu iegūšana, kā arī DGA noteikšana saimniekdatora nosaukumos, cita starpā.
nDPI To raksturo gan ntop, gan nProbe, lai pievienotu protokolu noteikšanu lietojumprogrammas slānī neatkarīgi no izmantotā porta. Tas nozīmē, ka zināmos protokolus var atklāt nestandarta portos.
Projekts ļauj noteikt satiksmē izmantotos lietojumprogrammu līmeņa protokolus analizējot tīkla darbības raksturu, nesaistoties ar tīkla portiem (varat noteikt zināmus protokolus, kuru draiveri pieņem savienojumus nestandarta tīkla portos, piemēram, ja http tiek sūtīts nevis no porta 80, vai, gluži pretēji, mēģinot maskēt citus tīkla darbības, piemēram, http, kas darbojas 80. portā).
Galvenās jaunās nDPI 4.6 funkcijas
Jaunajā nDPI 4.6 laidienā nodrošināta iespēja definēt pielāgotus protokolus, izmantojot nBPF filtrus (piemēram: 'nbpf:»host 192.168.1.1 un ports 80″@HomeRouter').
Arī satiksmes analīzes veiktspēja ir ievērojami uzlabota, kā arī WebShell un PHP koda noteikšana HTTP vietrāžos URL un DGA (Domain Generation Algorithm) definīcija.
Atklāto tīkla draudu un problēmu klāsts ir paplašināts saistīta ar saistību risku (plūsmas risku). Pievienots atbalsts jauniem draudu veidiem: NDPI_HTTP_OBSOLETE_SERVER (atklāj vecās Apache un nginx versijas), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Vēl viens jaunums, kas tiek prezentēts šajā jaunajā versijā, ir ieviesti neskaidri testi kā arī uzlabota AES-NI instrukciju pārbaude un datu serializācijas uzlabojumi JSON formātā.
No otras puses, ir arī uzsvērts, ka pievienota Patrīcijas, Ahocarasick un LRU kešatmiņas statistika, kā arī konfigurējama LRU kešatmiņas ievades novecošanas loģika, atbalsts RTP straumēm, lai straumētu metadatus, un tas, ka ndpiReader utilīta ievieš atbalstu Linux Cooked Capture v2 protokolam.
No protokolu un pakalpojumu atbalsta papildinājumiem:
- Activision
- Piekļuve AliCloud serverim
- Avast
- CryNetwork
- Anydesk
- Bittorrent (labot uzticību, noteikšana, izmantojot TCP)
- DNS, pievienojiet iespēju atšifrēt DNS PTR ierakstus, ko izmanto apgrieztās adreses izšķiršanai
- DTLS (apstrādājiet sertifikāta fragmentus)
- Facebook VoIP zvani
- FastCGI (izdalīt PARAMS)
- FortiClient (atjaunināt noklusējuma portus)
- Neatbilstība
- edns
- Elastikas meklēšana
- FastCGI
- Liktenis
- Liane App un Line VoIP zvani
- Meraki mākonis
- muanin
- NATPMP
- HTTP apakšklasifikācija
- Pārbaudiet, vai HTTP nav tukšs/trūkst lietotāja aģenta
- IRC (akreditācijas datu pārbaude)
- Jabber / XMPP
- Kerberos (atbalsts Krb-Error ziņojumiem)
- LDAP
- MGCP
- MONGODB (izvairieties no viltus pozitīviem rezultātiem)
- Syncthing
- TP-LINK viedā māja
- JŪSU LAN
- SoftEtherVPN
- Astes skala
- TiVoConnect
- SNMP
- SMB (atbalsts ziņojumiem, kas sadalīti vairākos TCP segmentos)
- SMTP (atbalsts komandai X-ANONYMOUSTLS)
- Apdullināt
- SKYPE (uzlabojiet noteikšanu, izmantojot UDP, noņemiet noteikšanu, izmantojot TCP)
- Teamspeak3 (licences/tīmekļa saraksta noteikšana)
- Threema Messenger
- Zoom
- Pievienojiet tālummaiņas ekrāna kopīgošanas noteikšanu
- Pievienojiet tālummaiņas peer-to-peer plūsmu noteikšanu programmā STUN
- Hangout/Duo VoIP zvanu noteikšana, optimizējiet meklēšanu protokolu kokā
- HTTP
- HTTP starpniekservera un HTTP savienojuma apstrāde
- postgres
- POP3
- QUIC (atbalsts 0-RTT paketēm, kas saņemtas pirms sākotnējās)
- Snapchat VoIP zvani
Beidzot ja jūs interesē uzzināt vairāk par to Par šo jauno versiju sīkāku informāciju varat skatīt vietnē šī saite.
Kā instalēt nDPI operētājsistēmā Linux?
Tiem, kurus interesē iespēja instalēt šo rīku savā sistēmā, viņi to var izdarīt, izpildot tālāk sniegtos norādījumus.
Lai instalētu rīku, mums ir jālejupielādē avota kods un tas jāapkopo, bet pirms tam, ja tie ir Debian, Ubuntu vai atvasināto lietotāju No tiem mums vispirms ir jāinstalē:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Attiecībā uz tiem, kas ir Arch Linux lietotāji:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Tagad, lai kompilētu, mums ir jālejupielādē avota kods, kuru varat iegūt, ierakstot:
git clone https://github.com/ntop/nDPI.git cd nDPI
Un mēs turpinām apkopot rīku, ierakstot:
./autogen.sh make
Ja vēlaties uzzināt vairāk par rīka izmantošanu, varat pārbaudiet šo saiti.