L ntop deweloperzy projektów (którzy opracowują narzędzia do przechwytywania i analizy ruchu) ujawnione niedawno wydany nowa wersja nDPI 4.4, który jest bieżącym nadzbiorem konserwacyjnym popularnej biblioteki OpenDP.
nDPI Charakteryzuje się tym, że jest używany zarówno przez ntop, jak i nProbe, aby dodać wykrywanie protokołów w warstwie aplikacji, niezależnie od używanego portu. Oznacza to, że znane protokoły można wykryć na niestandardowych portach.
Projekt pozwala określić protokoły na poziomie aplikacji używane w ruchu analizując charakter aktywności sieciowej bez wiązania się z portami sieciowymi (można określić znane protokoły, których sterowniki akceptują połączenia na niestandardowych portach sieciowych, np. jeśli http jest wysyłany nie z portu 80 lub odwrotnie, gdy próbują zakamuflować inne aktywność sieciowa, taka jak http działający na porcie 80).
Różnice z OpenDPI sprowadzają się do obsługi dodatkowych protokołów, przenośność na platformę Windows, optymalizacja wydajności, adaptacja do wykorzystania w aplikacjach do monitorowania ruchu w czasie rzeczywistym (usunięto niektóre specyficzne funkcje spowalniające silnik), możliwości budowania w postaci modułu jądra Linux oraz wsparcie dla definiowania pod - protokoły.
Główne nowe funkcje nDPI 4.4
W tej nowej wersji, która jest prezentowana podkreślono, że dodano metadane z informacją o przyczynie wezwania administratora dla konkretnego zagrożenia.
Kolejna ważna zmiana dotyczy wbudowana implementacja gcrypt, która jest domyślnie włączonaa (sugerowana jest opcja --with-libgcrypt, aby użyć implementacji systemowej).
Oprócz tego podkreśla się również, że rozszerzono zakres wykrywanych zagrożeń sieciowych i związanych z nimi problemów z ryzykiem kompromitacji (ryzyko przepływu), a także dodano obsługę nowych typów zagrożeń: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT i NDPI_ANONYMOUS_SUBSCRIBER.
Dodany funkcja ndpi_check_flow_risk_exceptions() umożliwiająca obsługę zagrożeń sieciowych, a także dodano dwa nowe poziomy prywatności: NDPI_CONFIDENCE_DPI_PARTIAL i NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Podkreśla się również, że zaktualizowane wiązania dla języka Pythona, wewnętrzna implementacja hashmap została zastąpiona uthash, podobnie jak podział na protokoły sieciowe (np. TLS) i protokoły aplikacji (np. usługi Google) oraz dodano szablon do definiowania użycia usługi WARP Cloudflare.
Z drugiej strony zauważa się również, że dodano wykrywanie protokołu dla:
- Ultrasurf
- i3D
- zamieszki
- tsan
- TunnelBear VPN
- zebrane
- PIM (multiemisja niezależna od protokołu)
- Pragmatyczne ogólne rozsyłanie grupowe (PGM)
- RSH
- Produkty GoTo (głównie GoToMeeting)
- Dazn
- MPEG-DASH
- Sieć czasu rzeczywistego definiowana programowo Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Z innych zmian które wyróżniają się w tej nowej wersji:
- Poprawki dla niektórych rodzin klasyfikacji protokołów.
- Naprawiono domyślne porty protokołów dla protokołów poczty e-mail
- Różne poprawki pamięci i przepełnienia
- Różne zagrożenia wyłączone dla określonych protokołów (na przykład wyłącz brakujący ALPN dla CiscoVPN)
- Napraw dekapsulację TZSP
- Zaktualizuj listy ASN/IP
- Ulepszone profilowanie kodu
- Użyj Doxygena do wygenerowania dokumentacji API
- Dodano sieci CDN Edgecast i Cachefly.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat O tej nowej wersji możesz sprawdzić szczegóły w następujący link.
Jak zainstalować nDPI w systemie Linux?
Dla tych, którzy są zainteresowani możliwością zainstalowania tego narzędzia w swoim systemie, mogą to zrobić, postępując zgodnie z instrukcjami, które udostępniamy poniżej.
Aby zainstalować narzędzie, musimy pobrać kod źródłowy i skompilować go, ale wcześniej, jeśli są Użytkownicy Debiana, Ubuntu lub pochodnych Spośród nich musimy najpierw zainstalować następujące elementy:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
W przypadku tych, którzy są Użytkownicy Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Teraz w celu skompilowania musimy pobrać kod źródłowy, który można uzyskać wpisując:
git clone https://github.com/ntop/nDPI.git cd nDPI
I przystępujemy do kompilacji narzędzia, wpisując:
./autogen.sh make
Jeśli chcesz dowiedzieć się więcej o korzystaniu z narzędzia, możesz sprawdź poniższy link.