nDPI 4.6 kommer med støtte for nye protokoller, tjenester og mer

Darkcrizt

4 minutter

nDPI

nDPI® er et åpen kildekode LGPLv3-bibliotek for dyp pakkeinspeksjon. Basert på OpenDPI, inkluderer ntop-utvidelser.

De utgivelse av den nye versjonen av nDPI 4.6 som introduserer flere forbedringer, samt støtte for flere protokoller og robusthet takket være den uklare koden introdusert i denne versjonen. Utvinning av protokollmetadata er forbedret på tvers av flere protokoller, det samme har DGA-deteksjon i blant annet vertsnavn.

nDPI Det kjennetegnes ved å bli brukt av både ntop og nProbe for å legge til protokolldeteksjon på applikasjonslaget, uavhengig av porten som brukes. Dette betyr at kjente protokoller kan oppdages på ikke-standardiserte porter.

Prosjektet lar deg bestemme protokollene på applikasjonsnivå som brukes i trafikken ved å analysere arten av nettverksaktivitet uten å binde seg til nettverksporter (du kan bestemme kjente protokoller hvis drivere godtar tilkoblinger til ikke-standardiserte nettverksporter, for eksempel hvis http ikke sendes fra port 80, eller omvendt når de prøver å kamuflere andre nettverksaktivitet, for eksempel http som kjører på port 80).

Nye viktigste funksjoner i nDPI 4.6

I den nye utgaven av nDPI 4.6, gitt mulighet til å definere egendefinerte protokoller ved hjelp av nBPF-filtre (for eksempel: 'nbpf:»vert 192.168.1.1 og port 80″@HomeRouter').

også trafikkanalyseytelsen har blitt betydelig forbedret, samt deteksjon av WebShell- og PHP-kode i HTTP-URLer og definisjonen av DGA (Domain Generational Algorithm).

Utvalget av oppdagede nettverkstrusler og problemer har blitt utvidet knyttet til engasjementrisiko (flytrisiko). Lagt til støtte for nye trusseltyper: NDPI_HTTP_OBSOLETE_SERVER (oppdager gamle versjoner av Apache og nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

En annen nyhet som presenteres i denne nye versjonen er fuzzing tester implementert sammen med forbedret kontroll av AES-NI-instruksjoner og forbedringer gjort til dataserialisering i JSON-format.

På den annen side fremheves det også lagt til statistikk for Patricia, Ahocarasick og LRU cache, samt konfigurerbar LRU-cache-oppføringslogikk, støtte for RTP-strømmer for å streame metadata, og at ndpiReader-verktøyet implementerer støtte for Linux Cooked Capture v2-protokollen.

På siden av støttetilleggene for protokoller og tjenester:

  • Activision
  • AliCloud servertilgang
  • Avast
  • CryNetwork
  • Anydesk
  • Bittorrent (fiks tillit, deteksjon over TCP)
  • DNS, legg til muligheten til å dekode DNS PTR-poster som brukes for omvendt adresseoppløsning
  • DTLS (håndtere sertifikatfragmenter)
  • Facebook VoIP -anrop
  • FastCGI (dissect PARAMS)
  • FortiClient (oppdater standardporter)
  • Discord
  • edns
  • Elasticsearch
  • FastCGI
  • Kismet
  • Liane App og Line VoIP-samtaler
  • Meraki Cloud
  • muanin
  • NATPMP
  • HTTP-underklassifisering
  • Se etter tom/manglende brukeragent i HTTP
  • IRC (legitimasjonssjekk)
  • Jabber / XMPP
  • Kerberos (støtte for Krb-feilmeldinger)
  • LDAP
  • MGCP
  • MONGODB (unngå falske positiver)
  • Syncthing
  • TP-LINK Smart Home
  • DITT LAN
  • SoftEther VPN
  • Haleskala
  • TiVoConnect
  • SNMP
  • SMB (støtte for meldinger delt inn i flere TCP-segmenter)
  • SMTP (støtte for X-ANONYMOUSTLS kommando)
  • STUN
  • SKYPE (forbedre deteksjon over UDP, fjern deteksjon over TCP)
  • Teamspeak3 (deteksjon av lisens/nettliste)
  • Threema Messenger
  • Zoom
  • Legg til deteksjon av zoomskjermdeling
  • Legg til deteksjon av Zoom peer-to-peer-flyter i STUN
  • Hangout/Duo Voip-anropsgjenkjenning, optimaliser oppslag i protokolltreet
  • HTTP
  • Håndtering av HTTP-proxy og HTTP-Connect
  • postgres
  • POP3
  • QUIC (støtte for 0-RTT-pakker mottatt før initialen)
  • Snapchat VoIP-samtaler

Endelig hvis du er interessert i å vite mer om det Om denne nye versjonen kan du sjekke detaljene i følgende lenke.

Hvordan installere nDPI på Linux?

For de som er interessert i å kunne installere dette verktøyet på systemet sitt, kan de gjøre det ved å følge instruksjonene som vi deler nedenfor.

For å installere verktøyet, vi må laste ned kildekoden og kompilere den, men før det hvis de er det Debian-, Ubuntu- eller derivatbrukere Av disse må vi først installere følgende:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

I tilfelle de som er Arch Linux-brukere:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Nå, for å kompilere, må vi laste ned kildekoden, som du kan få ved å skrive:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Og vi fortsetter med å kompilere verktøyet ved å skrive:

./autogen.sh
make

Hvis du er interessert i å vite mer om bruken av verktøyet, kan du sjekk følgende lenke.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.