den ntop prosjektutviklere (som utvikler verktøy for å fange og analysere trafikk) gjort kjent nylig utgitt den nye versjonen av nDPI 4.4, som er et kontinuerlig vedlikeholdsoppsett av det populære OpenDP -biblioteket.
nDPI Det kjennetegnes ved å bli brukt av både ntop og nProbe for å legge til protokolldeteksjon på applikasjonslaget, uavhengig av porten som brukes. Dette betyr at kjente protokoller kan oppdages på ikke-standardiserte porter.
Prosjektet lar deg bestemme protokollene på applikasjonsnivå som brukes i trafikken ved å analysere arten av nettverksaktivitet uten å binde seg til nettverksporter (du kan bestemme kjente protokoller hvis drivere godtar tilkoblinger til ikke-standardiserte nettverksporter, for eksempel hvis http ikke sendes fra port 80, eller omvendt når de prøver å kamuflere andre nettverksaktivitet, for eksempel http som kjører på port 80).
Forskjeller med OpenDPI reduseres til støtte for ytterligere protokoller, bærbarhet for Windows -plattformen, ytelsesoptimalisering, tilpasning for bruk i applikasjoner for å overvåke trafikk i sanntid (noen spesifikke funksjoner som bremset motoren er fjernet), bygge evner i form av en Linux -kjernemodul og støtte for å definere sub -protokoller.
Nye viktigste funksjoner i nDPI 4.4
I denne nye versjonen som presenteres det bemerkes at det ble lagt til metadata med informasjon om årsaken til oppringing av behandlingsansvarlig for en bestemt trussel.
En annen viktig endring er i den innebygde implementeringen av gcrypt som er aktivert som standarda (alternativet --with-libgcrypt er foreslått for å bruke systemimplementeringen).
I tillegg til dette fremheves det også at utvalget av oppdagede nettverkstrusler og tilhørende problemer er utvidet med risiko for kompromiss (risiko for flyt) og også lagt til støtte for nye typer trusler: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT og NDPI_ANONYMOUS_SUBSCRIBER.
La til funksjonen ndpi_check_flow_risk_exceptions() for å aktivere nettverkstrusselbehandlere, samt to nye personvernnivåer er lagt til: NDPI_CONFIDENCE_DPI_PARTIAL og NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Det er også fremhevet at oppdaterte bindinger for python-språk, den interne implementeringen av hashmap er erstattet med uthash, samt inndelingen i nettverksprotokoller (for eksempel TLS) og applikasjonsprotokoller (for eksempel Google-tjenester) og malen for å definere bruken er lagt til Cloudflares WARP-tjeneste.
På den annen side bemerkes det også at lagt til protokolldeteksjon for:
- Ultrasurf
- i3D
- opprørsspill
- tsan
- TunnelBear VPN
- samlet
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- HSR
- GoTo-produkter (hovedsakelig GoToMeeting)
- dazn
- MPEG-DASH
- Agora-programvaredefinert sanntidsnettverk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Av de andre endringene som skiller seg ut for denne nye versjonen:
- Rettelser for noen protokollklassifiseringsfamilier.
- Faste standard protokollporter for e-postprotokoller
- Ulike minne- og overløpsrettinger
- Ulike risikoer deaktivert for spesifikke protokoller (for eksempel deaktiver manglende ALPN for CiscoVPN)
- Fiks TZSP-dekapsling
- Oppdater ASN/IP-lister
- Forbedret kodeprofilering
- Bruk Doxygen til å generere API-dokumentasjon
- Edgecast og Cachefly CDNs lagt til.
Endelig hvis du er interessert i å vite mer om det Om denne nye versjonen kan du sjekke detaljene i følgende lenke.
Hvordan installere nDPI på Linux?
For de som er interessert i å kunne installere dette verktøyet på systemet sitt, kan de gjøre det ved å følge instruksjonene som vi deler nedenfor.
For å installere verktøyet, vi må laste ned kildekoden og kompilere den, men før det hvis de er det Debian-, Ubuntu- eller derivatbrukere Av disse må vi først installere følgende:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
I tilfelle de som er Arch Linux-brukere:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Nå, for å kompilere, må vi laste ned kildekoden, som du kan få ved å skrive:
git clone https://github.com/ntop/nDPI.git cd nDPI
Og vi fortsetter med å kompilere verktøyet ved å skrive:
./autogen.sh make
Hvis du er interessert i å vite mer om bruken av verktøyet, kan du sjekk følgende lenke.