De utgivelse av den nye versjonen av nDPI 4.6 som introduserer flere forbedringer, samt støtte for flere protokoller og robusthet takket være den uklare koden introdusert i denne versjonen. Utvinning av protokollmetadata er forbedret på tvers av flere protokoller, det samme har DGA-deteksjon i blant annet vertsnavn.
nDPI Det kjennetegnes ved å bli brukt av både ntop og nProbe for å legge til protokolldeteksjon på applikasjonslaget, uavhengig av porten som brukes. Dette betyr at kjente protokoller kan oppdages på ikke-standardiserte porter.
Prosjektet lar deg bestemme protokollene på applikasjonsnivå som brukes i trafikken ved å analysere arten av nettverksaktivitet uten å binde seg til nettverksporter (du kan bestemme kjente protokoller hvis drivere godtar tilkoblinger til ikke-standardiserte nettverksporter, for eksempel hvis http ikke sendes fra port 80, eller omvendt når de prøver å kamuflere andre nettverksaktivitet, for eksempel http som kjører på port 80).
Nye viktigste funksjoner i nDPI 4.6
I den nye utgaven av nDPI 4.6, gitt mulighet til å definere egendefinerte protokoller ved hjelp av nBPF-filtre (for eksempel: 'nbpf:»vert 192.168.1.1 og port 80″@HomeRouter').
også trafikkanalyseytelsen har blitt betydelig forbedret, samt deteksjon av WebShell- og PHP-kode i HTTP-URLer og definisjonen av DGA (Domain Generational Algorithm).
Utvalget av oppdagede nettverkstrusler og problemer har blitt utvidet knyttet til engasjementrisiko (flytrisiko). Lagt til støtte for nye trusseltyper: NDPI_HTTP_OBSOLETE_SERVER (oppdager gamle versjoner av Apache og nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
En annen nyhet som presenteres i denne nye versjonen er fuzzing tester implementert sammen med forbedret kontroll av AES-NI-instruksjoner og forbedringer gjort til dataserialisering i JSON-format.
På den annen side fremheves det også lagt til statistikk for Patricia, Ahocarasick og LRU cache, samt konfigurerbar LRU-cache-oppføringslogikk, støtte for RTP-strømmer for å streame metadata, og at ndpiReader-verktøyet implementerer støtte for Linux Cooked Capture v2-protokollen.
På siden av støttetilleggene for protokoller og tjenester:
- Activision
- AliCloud servertilgang
- Avast
- CryNetwork
- Anydesk
- Bittorrent (fiks tillit, deteksjon over TCP)
- DNS, legg til muligheten til å dekode DNS PTR-poster som brukes for omvendt adresseoppløsning
- DTLS (håndtere sertifikatfragmenter)
- Facebook VoIP -anrop
- FastCGI (dissect PARAMS)
- FortiClient (oppdater standardporter)
- Discord
- edns
- Elasticsearch
- FastCGI
- Kismet
- Liane App og Line VoIP-samtaler
- Meraki Cloud
- muanin
- NATPMP
- HTTP-underklassifisering
- Se etter tom/manglende brukeragent i HTTP
- IRC (legitimasjonssjekk)
- Jabber / XMPP
- Kerberos (støtte for Krb-feilmeldinger)
- LDAP
- MGCP
- MONGODB (unngå falske positiver)
- Syncthing
- TP-LINK Smart Home
- DITT LAN
- SoftEther VPN
- Haleskala
- TiVoConnect
- SNMP
- SMB (støtte for meldinger delt inn i flere TCP-segmenter)
- SMTP (støtte for X-ANONYMOUSTLS kommando)
- STUN
- SKYPE (forbedre deteksjon over UDP, fjern deteksjon over TCP)
- Teamspeak3 (deteksjon av lisens/nettliste)
- Threema Messenger
- Zoom
- Legg til deteksjon av zoomskjermdeling
- Legg til deteksjon av Zoom peer-to-peer-flyter i STUN
- Hangout/Duo Voip-anropsgjenkjenning, optimaliser oppslag i protokolltreet
- HTTP
- Håndtering av HTTP-proxy og HTTP-Connect
- postgres
- POP3
- QUIC (støtte for 0-RTT-pakker mottatt før initialen)
- Snapchat VoIP-samtaler
Endelig hvis du er interessert i å vite mer om det Om denne nye versjonen kan du sjekke detaljene i følgende lenke.
Hvordan installere nDPI på Linux?
For de som er interessert i å kunne installere dette verktøyet på systemet sitt, kan de gjøre det ved å følge instruksjonene som vi deler nedenfor.
For å installere verktøyet, vi må laste ned kildekoden og kompilere den, men før det hvis de er det Debian-, Ubuntu- eller derivatbrukere Av disse må vi først installere følgende:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
I tilfelle de som er Arch Linux-brukere:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Nå, for å kompilere, må vi laste ned kildekoden, som du kan få ved å skrive:
git clone https://github.com/ntop/nDPI.git cd nDPI
Og vi fortsetter med å kompilere verktøyet ved å skrive:
./autogen.sh make
Hvis du er interessert i å vite mer om bruken av verktøyet, kan du sjekk følgende lenke.