nDPI 4.6 tiba dengan sokongan untuk protokol baharu, perkhidmatan dan banyak lagi

Darkcrizt

Minit 4

nDPI

nDPI® ialah perpustakaan LGPLv3 sumber terbuka untuk pemeriksaan paket mendalam. Berdasarkan OpenDPI, termasuk sambungan ntop.

The keluaran versi baharu nDPI 4.6 yang memperkenalkan beberapa penambahbaikan, serta sokongan untuk lebih banyak protokol dan keteguhan terima kasih kepada kod kabur yang diperkenalkan dalam versi ini. Pengekstrakan metadata protokol telah dipertingkatkan merentas beberapa protokol, seperti pengesanan DGA dalam nama hos, antara lain.

nDPI Ia dicirikan oleh penggunaan ntop dan nProbe untuk menambahkan pengesanan protokol pada lapisan aplikasi, tanpa mengira port yang digunakan. Ini bermaksud bahawa mungkin untuk mengesan protokol yang diketahui pada port yang tidak standard.

Projek itu membolehkan anda menentukan protokol peringkat aplikasi yang digunakan dalam lalu lintas dengan menganalisis sifat aktiviti rangkaian tanpa mengikat port rangkaian (anda dapat menentukan protokol yang diketahui yang drivernya menerima sambungan pada port rangkaian bukan standard, misalnya jika http dihantar bukan dari port 80, atau, sebaliknya, ketika mereka cuba menyamarkan yang lain aktiviti rangkaian seperti http berjalan di port 80).

Ciri baru utama nDPI 4.6

Dalam keluaran baharu nDPI 4.6, menyediakan keupayaan untuk menentukan protokol tersuai menggunakan penapis nBPF (contohnya: 'nbpf:»hos 192.168.1.1 dan port 80″@HomeRouter').

Juga prestasi analisis trafik telah bertambah baik, serta pengesanan kod WebShell dan PHP dalam URL HTTP dan definisi DGA (Domain Generational Algorithm).

Pelbagai ancaman dan isu rangkaian yang dikesan telah diperluaskan dikaitkan dengan risiko komitmen (risiko aliran). Menambah sokongan untuk jenis ancaman baharu: NDPI_HTTP_OBSOLETE_SERVER (mengesan versi lama Apache dan nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Satu lagi kebaharuan yang dipersembahkan dalam versi baharu ini ialah ujian kabur dilaksanakan bersama-sama dengan penyemakan arahan AES-NI yang lebih baik dan penambahbaikan yang dibuat pada siri data dalam format JSON.

Sebaliknya, ia juga diketengahkan menambah statistik untuk cache Patricia, Ahocarasick dan LRU, serta logik penuaan kemasukan cache LRU yang boleh dikonfigurasikan, sokongan untuk strim RTP untuk menstrim metadata, dan utiliti ndpiReader melaksanakan sokongan untuk protokol Tangkapan Masak Linux v2.

Di pihak penambahan sokongan untuk protokol dan perkhidmatan:

  • Activision
  • Akses pelayan AliCloud
  • AVAST
  • CryNetwork
  • Anydesk
  • Bittorrent (baiki keyakinan, pengesanan melalui TCP)
  • DNS, tambah keupayaan untuk menyahkod rekod PTR DNS yang digunakan untuk resolusi alamat terbalik
  • DTLS (mengendalikan serpihan sijil)
  • Panggilan VoIP Facebook
  • FastCGI (membedah PARAMS)
  • FortiClient (kemas kini port lalai)
  • Perpecahan
  • edns
  • Elasticsearch
  • CepatCGI
  • Kismet
  • Liane App dan Panggilan VoIP Talian
  • Awan Meraki
  • muanin
  • NATPMP
  • Subklasifikasi HTTP
  • Semak ejen pengguna kosong/tiada dalam HTTP
  • IRC (semakan kelayakan)
  • Jabber / XMPP
  • Kerberos (sokongan untuk mesej Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (elakkan positif palsu)
  • syncthing
  • Rumah Pintar TP-LINK
  • LAN ANDA
  • VPN SoftEther
  • Tailcale
  • TiVoConnect
  • SNMP
  • SMB (sokongan untuk mesej dibahagikan kepada berbilang segmen TCP)
  • SMTP (sokongan untuk arahan X-ANONYMOUSTLS)
  • MENYEBABKAN PENGSAN
  • SKYPE (tingkatkan pengesanan melalui UDP, alih keluar pengesanan melalui TCP)
  • Teamspeak3 (Pengesanan Lesen/Senarai Web)
  • Threema Messenger
  • Zoom
  • Tambah pengesanan bahagian skrin Zum
  • Tambahkan pengesanan Zum aliran rakan ke rakan dalam STUN
  • Pengesanan panggilan Hangout/Duo Voip, optimumkan carian dalam pepohon protokol
  • HTTP
  • Pengendalian HTTP-Proxy dan HTTP-Connect
  • postgres
  • POP3
  • QUIC (sokongan untuk paket 0-RTT yang diterima sebelum permulaan)
  • Panggilan VoIP Snapchat

Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya Mengenai versi baru ini, anda boleh melihat butiran di pautan berikut.

Bagaimana untuk memasang nDPI pada Linux?

Bagi mereka yang berminat untuk memasang alat ini pada sistem mereka, mereka boleh melakukannya dengan mengikuti arahan yang kami kongsikan di bawah.

Untuk memasang alat, kita mesti memuat turun kod sumber dan menyusunnya, tetapi sebelum itu jika mereka Pengguna Debian, Ubuntu atau derivatif Daripada jumlah ini, kami mesti memasang yang berikut terlebih dahulu:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Dalam kes mereka yang Pengguna Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Sekarang, untuk menyusun, kita mesti memuat turun kod sumber, yang boleh anda perolehi dengan menaip:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Dan kami meneruskan untuk menyusun alat dengan menaip:

./autogen.sh
make

Jika anda berminat untuk mengetahui lebih lanjut tentang penggunaan alat tersebut, anda boleh semak pautan berikut.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.