Nadchodzi nDPI 4.6 z obsługą nowych protokołów, usług i nie tylko

Darkcrizt

4 minut

nDPI

nDPI® to otwarta biblioteka LGPLv3 do głębokiej inspekcji pakietów. Oparty na OpenDPI, zawiera rozszerzenia ntop.

ten wydanie nowej wersji nDPI 4.6 która wprowadza kilka ulepszeń, a także obsługę większej liczby protokołów i solidność dzięki wprowadzonemu w tej wersji kodowi fuzzingu. Ekstrakcja metadanych protokołów została ulepszona w kilku protokołach, podobnie jak między innymi wykrywanie DGA w nazwach hostów.

nDPI Charakteryzuje się tym, że jest używany zarówno przez ntop, jak i nProbe, aby dodać wykrywanie protokołów w warstwie aplikacji, niezależnie od używanego portu. Oznacza to, że znane protokoły można wykryć na niestandardowych portach.

Projekt pozwala określić protokoły na poziomie aplikacji używane w ruchu analizując charakter aktywności sieciowej bez wiązania się z portami sieciowymi (można określić znane protokoły, których sterowniki akceptują połączenia na niestandardowych portach sieciowych, np. jeśli http jest wysyłany nie z portu 80 lub odwrotnie, gdy próbują zakamuflować inne aktywność sieciowa, taka jak http działający na porcie 80).

Główne nowe funkcje nDPI 4.6

W nowej wersji nDPI 4.6, zapewniona możliwość definiowania niestandardowych protokołów przy użyciu filtrów nBPF (na przykład: „nbpf:»host 192.168.1.1 i port 80″@HomeRouter”).

Również wydajność analizy ruchu została znacznie poprawiona, a także wykrywanie kodu WebShell i PHP w adresach URL HTTP oraz definicja algorytmu DGA (Domain Generational Algorithm).

Rozszerzono zakres wykrywanych zagrożeń i problemów sieciowych związane z ryzykiem zaangażowania (ryzyko przepływu). Dodano obsługę nowych typów zagrożeń: NDPI_HTTP_OBSOLETE_SERVER (wykrywa stare wersje Apache i nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Kolejną nowością, która jest prezentowana w tej nowej wersji są zaimplementowano testy fuzzingowe wraz z ulepszonym sprawdzaniem instrukcji AES-NI i ulepszeniami wprowadzonymi do serializacji danych w formacie JSON.

Z drugiej strony podkreśla się również, że dodano statystyki dla pamięci podręcznej Patricii, Ahocarasick i LRU, a także konfigurowalną logikę starzenia się wpisów pamięci podręcznej LRU, obsługę strumieni RTP do przesyłania strumieniowego metadanych oraz to, że narzędzie ndpiReader implementuje obsługę protokołu Linux Cooked Capture v2.

Ze strony obsługi dodatków dla protokołów i usług:

  • Activision
  • Dostęp do serwera AliCloud
  • Avast
  • CryNetwork
  • Dowolne biurko
  • Bittorrent (pewność naprawy, wykrywanie przez TCP)
  • DNS, dodaj możliwość dekodowania rekordów DNS PTR używanych do odwrotnego rozpoznawania adresów
  • DTLS (obsługa fragmentów certyfikatów)
  • Połączenia VoIP na Facebooku
  • FastCGI (analiza PARAMÓW)
  • FortiClient (zaktualizuj domyślne porty)
  • Discord
  • edns
  • Elasticsearch
  • FastCGI
  • Kismet
  • Liane App i Line VoIP
  • Chmura Meraki
  • muanin
  • NATPMP
  • Podklasyfikacja HTTP
  • Sprawdź, czy w HTTP nie ma pustego/brakującego agenta użytkownika
  • IRC (sprawdzanie poświadczeń)
  • Jabber / XMPP
  • Kerberos (obsługa komunikatów o błędach Krb)
  • LDAP
  • MGCP
  • MONGODB (unikaj fałszywych alarmów)
  • Synchronizacja
  • Inteligentny dom TP-LINK
  • TWOJA SIEĆ
  • SoftEtherVPN
  • Łuska ogonowa
  • TiVoConnect
  • SNMP
  • SMB (obsługa wiadomości podzielonych na wiele segmentów TCP)
  • SMTP (obsługa polecenia X-ANONYMOUSTLS)
  • Oszołomić
  • SKYPE (popraw wykrywanie przez UDP, usuń wykrywanie przez TCP)
  • Teamspeak3 (wykrywanie licencji/weblist)
  • Komunikator Threema
  • Powiększenie
  • Dodaj wykrywanie udostępniania ekranu Zoom
  • Dodaj wykrywanie przepływów peer-to-peer Zoom w STUN
  • Wykrywanie połączeń Hangout/Duo Voip, optymalizacja wyszukiwania w drzewie protokołów
  • HTTP
  • Obsługa HTTP-Proxy i HTTP-Connect
  • Postgres
  • POP3
  • QUIC (obsługa pakietów 0-RTT otrzymanych przed inicjalizacją)
  • Połączenia VoIP Snapchata

W końcu jeśli chcesz dowiedzieć się więcej na ten temat O tej nowej wersji możesz sprawdzić szczegóły w następujący link.

Jak zainstalować nDPI w systemie Linux?

Dla tych, którzy są zainteresowani możliwością zainstalowania tego narzędzia w swoim systemie, mogą to zrobić, postępując zgodnie z instrukcjami, które udostępniamy poniżej.

Aby zainstalować narzędzie, musimy pobrać kod źródłowy i skompilować go, ale wcześniej, jeśli są Użytkownicy Debiana, Ubuntu lub pochodnych Spośród nich musimy najpierw zainstalować następujące elementy:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

W przypadku tych, którzy są Użytkownicy Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Teraz w celu skompilowania musimy pobrać kod źródłowy, który można uzyskać wpisując:

git clone https://github.com/ntop/nDPI.git

cd nDPI

I przystępujemy do kompilacji narzędzia, wpisując:

./autogen.sh
make

Jeśli chcesz dowiedzieć się więcej o korzystaniu z narzędzia, możesz sprawdź poniższy link.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.