De ntop projectontwikkelaars (die tools ontwikkelen om verkeer vast te leggen en te analyseren) bekend gemaakt onlangs uitgebracht de nieuwe versie van nDPI 4.4, een superset voor doorlopend onderhoud van de populaire OpenDP-bibliotheek.
nDPI Het wordt gekenmerkt door te worden gebruikt door zowel ntop als nProbe om de detectie van protocollen toe te voegen op de applicatielaag, ongeacht de poort die wordt gebruikt. Dit betekent dat bekende protocollen kunnen worden gedetecteerd op niet-standaard poorten.
El proyecto stelt u in staat de protocollen op toepassingsniveau te bepalen die in het verkeer worden gebruikt door de aard van netwerkactiviteit te analyseren zonder te binden aan netwerkpoorten (u kunt bekende protocollen bepalen waarvan de stuurprogramma's verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet vanaf poort 80 wordt verzonden, of, omgekeerd, wanneer ze andere proberen te camoufleren netwerkactiviteit zoals http op poort 80).
Verschillen met OpenDPI komen neer op ondersteuning voor aanvullende protocollen, overdraagbaarheid voor het Windows-platform, prestatie-optimalisatie, aanpassing voor gebruik in applicaties om verkeer in realtime te volgen (sommige specifieke functies die de engine vertraagden zijn verwijderd), bouwmogelijkheden in de vorm van een Linux-kernelmodule en ondersteuning voor het definiëren van sub -protocollen.
Belangrijkste nieuwe functies van nDPI 4.4
In deze nieuwe versie die wordt gepresenteerd het is gemarkeerd dat metadata is toegevoegd met informatie over de reden voor het bellen van de controller voor een bepaalde dreiging.
Een andere belangrijke verandering is in de ingebouwde implementatie van gcrypt die standaard is ingeschakelda (de optie --with-libgcrypt wordt aanbevolen om de systeemimplementatie te gebruiken).
Daarnaast wordt er ook op gewezen dat: het bereik van gedetecteerde netwerkbedreigingen en bijbehorende problemen is uitgebreid met het risico van compromittering (risico van stroom) en ook toegevoegde ondersteuning voor nieuwe soorten bedreigingen: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT en NDPI_ANONYMOUS_SUBSCRIBER.
Toegevoegd de functie ndpi_check_flow_risk_exceptions() om handlers voor netwerkbedreigingen in te schakelen, en er zijn twee nieuwe privacyniveaus toegevoegd: NDPI_CONFIDENCE_DPI_PARTIAL en NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Dat wordt ook benadrukt bijgewerkte bindingen voor python-taal, de interne implementatie van hashmap is vervangen door uthash, evenals de opdeling in netwerkprotocollen (bijvoorbeeld TLS) en applicatieprotocollen (bijvoorbeeld Google-services) en de sjabloon om het gebruik te definiëren is toegevoegd aan de WARP-service van Cloudflare.
Aan de andere kant wordt ook opgemerkt dat toegevoegde protocoldetectie voor:
- UltraSurf
- i3D
- Riot Games
- tsan
- TunnelBear VPN
- verzameld
- PIM (Protocol Onafhankelijke Multicast)
- Pragmatische Algemene Multicast (PGM)
- RSH
- GoTo-producten (voornamelijk GoToMeeting)
- Dazn
- MPEG-DASH
- Agora Softwaregedefinieerd realtime netwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Van de andere veranderingen die opvallen in deze nieuwe versie:
- Oplossingen voor sommige protocolclassificatiefamilies.
- Vaste standaardprotocolpoorten voor e-mailprotocollen
- Verschillende geheugen- en overloopoplossingen
- Verschillende risico's uitgeschakeld voor specifieke protocollen (bijvoorbeeld ontbrekende ALPN uitschakelen voor CiscoVPN)
- TZSP-ontkapseling repareren
- ASN/IP-lijsten bijwerken
- Verbeterde codeprofilering
- Gebruik Doxygen om API-documentatie te genereren
- Edgecast en Cachefly CDN's toegevoegd.
Eindelijk als u er meer over wilt weten Over deze nieuwe versie kunt u de details bekijken in de volgende link.
Hoe installeer ik nDPI op Linux?
Voor degenen die geïnteresseerd zijn om deze tool op hun systeem te kunnen installeren, kunnen ze dit doen door de instructies te volgen die we hieronder delen.
Om de tool te installeren, we moeten de broncode downloaden en compileren, maar daarvoor als ze zijn Debian, Ubuntu of afgeleide gebruikers Hiervan moeten we eerst het volgende installeren:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
In het geval van degenen die zijn Arch Linux-gebruikers:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Om nu te compileren, moeten we de broncode downloaden, die u kunt verkrijgen door te typen:
git clone https://github.com/ntop/nDPI.git cd nDPI
En we gaan verder met het compileren van de tool door te typen:
./autogen.sh make
Als u meer wilt weten over het gebruik van de tool, kunt u: controleer de volgende link.