nDPI 4.6 arriveert met ondersteuning voor nieuwe protocollen, services en meer

Darkcrizt

4 minuten

nDPI

nDPI® is een open source LGPLv3-bibliotheek voor diepgaande pakketinspectie. Gebaseerd op OpenDPI, inclusief ntop-extensies.

De release van de nieuwe versie van nDPI 4.6 die verschillende verbeteringen introduceert, evenals ondersteuning voor meer protocollen en robuustheid dankzij de fuzzing-code die in deze versie is geïntroduceerd. Metadata-extractie van protocollen is verbeterd voor verschillende protocollen, net als onder andere DGA-detectie in hostnamen.

nDPI Het wordt gekenmerkt door te worden gebruikt door zowel ntop als nProbe om de detectie van protocollen toe te voegen op de applicatielaag, ongeacht de poort die wordt gebruikt. Dit betekent dat bekende protocollen kunnen worden gedetecteerd op niet-standaard poorten.

El proyecto stelt u in staat de protocollen op toepassingsniveau te bepalen die in het verkeer worden gebruikt door de aard van netwerkactiviteit te analyseren zonder te binden aan netwerkpoorten (u kunt bekende protocollen bepalen waarvan de stuurprogramma's verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet vanaf poort 80 wordt verzonden, of, omgekeerd, wanneer ze andere proberen te camoufleren netwerkactiviteit zoals http op poort 80).

Belangrijkste nieuwe functies van nDPI 4.6

In de nieuwe release van nDPI 4.6, bood de mogelijkheid om aangepaste protocollen te definiëren met behulp van nBPF-filters (bijvoorbeeld: 'nbpf:»host 192.168.1.1 en poort 80″@HomeRouter').

ook de prestaties van de verkeersanalyse zijn sterk verbeterd, evenals de detectie van WebShell- en PHP-code in HTTP-URL's en de definitie van DGA (Domain Generational Algorithm).

Het bereik van gedetecteerde netwerkbedreigingen en problemen is uitgebreid geassocieerd met commitment-risico (flow-risico). Ondersteuning toegevoegd voor nieuwe soorten bedreigingen: NDPI_HTTP_OBSOLETE_SERVER (detecteert oude versies van Apache en nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Een andere nieuwigheid die in deze nieuwe versie wordt gepresenteerd, zijn de fuzzing-tests geïmplementeerd samen met verbeterde controle van AES-NI-instructies en verbeteringen aan dataserialisatie in JSON-formaat.

Aan de andere kant wordt ook benadrukt dat statistieken toegevoegd voor Patricia, Ahocarasick en LRU cache, evenals configureerbare LRU-cacheverouderingslogica, ondersteuning voor RTP-streams om metadata te streamen, en het hulpprogramma ndpiReader implementeert ondersteuning voor het Linux Cooked Capture v2-protocol.

Van de kant van de ondersteunende toevoegingen voor protocollen en services:

  • Activision
  • AliCloud-servertoegang
  • Avast
  • CryNetwerk
  • Anydesk
  • Bittorrent (betrouwbaarheid herstellen, detectie via TCP)
  • DNS, voeg de mogelijkheid toe om DNS PTR-records te decoderen die worden gebruikt voor omgekeerde adresomzetting
  • DTLS (certificaatfragmenten verwerken)
  • Facebook VoIP-gesprekken
  • FastCGI (ontleed PARAMS)
  • FortiClient (standaardpoorten bijwerken)
  • Discord
  • edns
  • Elasticsearch
  • FastCGI
  • Kismet
  • Liane App en Line VoIP bellen
  • Meraki-wolk
  • muanin
  • NATPMP
  • HTTP-subclassificatie
  • Controleer op lege/ontbrekende user-agent in HTTP
  • IRC (inloggegevens controleren)
  • Jabber / XMPP
  • Kerberos (ondersteuning voor Krb-foutmeldingen)
  • LDAP
  • MGCP
  • MONGODB (vermijd valse positieven)
  • Syncthing
  • TP-LINK Smart Home
  • JOUW LAN
  • Zachtere VPN
  • Staartschaal
  • TiVoConnect
  • SNMP
  • SMB (ondersteuning voor berichten opgesplitst in meerdere TCP-segmenten)
  • SMTP (ondersteuning voor X-ANONYMOUSTLS-opdracht)
  • STUNNEN
  • SKYPE (detectie verbeteren via UDP, detectie verwijderen via TCP)
  • Teamspeak3 (detectie van licentie/weblijst)
  • Threema-boodschapper
  • Zoom
  • Detectie van zoomscherm delen toevoegen
  • Voeg detectie toe van Zoom peer-to-peer-stromen in STUN
  • Hangout/Duo Voip-oproepdetectie, optimaliseer zoekopdrachten in de protocolboom
  • HTTP
  • Afhandeling van HTTP-Proxy en HTTP-Connect
  • postgres
  • POP3
  • QUIC (ondersteuning voor 0-RTT-pakketten die vóór de initiaal zijn ontvangen)
  • Snapchat VoIP-gesprekken

Eindelijk als u er meer over wilt weten Over deze nieuwe versie kunt u de details bekijken in de volgende link.

Hoe installeer ik nDPI op Linux?

Voor degenen die geïnteresseerd zijn om deze tool op hun systeem te kunnen installeren, kunnen ze dit doen door de instructies te volgen die we hieronder delen.

Om de tool te installeren, we moeten de broncode downloaden en compileren, maar daarvoor als ze zijn Debian, Ubuntu of afgeleide gebruikers Hiervan moeten we eerst het volgende installeren:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

In het geval van degenen die zijn Arch Linux-gebruikers:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Om nu te compileren, moeten we de broncode downloaden, die u kunt verkrijgen door te typen:

git clone https://github.com/ntop/nDPI.git

cd nDPI

En we gaan verder met het compileren van de tool door te typen:

./autogen.sh
make

Als u meer wilt weten over het gebruik van de tool, kunt u: controleer de volgende link.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.