L dezvoltatorii de proiecte ntop (care dezvoltă instrumente pentru a capta și analiza traficul) făcut cunoscut lansat recent noua versiune a nDPI 4.4, care este un superset de întreținere în curs de desfășurare a popularei biblioteci OpenDP.
ndpi Se caracterizează prin faptul că este folosit atât de ntop, cât și de nProbe pentru a adăuga detectarea protocoalelor la nivelul aplicației, indiferent de portul utilizat. Aceasta înseamnă că protocoalele cunoscute pot fi detectate pe porturi non-standard.
Proiectul vă permite să determinați protocoalele la nivel de aplicație utilizate în trafic analizând natura activității rețelei fără a se lega de porturile de rețea (puteți determina protocoale cunoscute ale căror drivere acceptă conexiuni pe porturi de rețea non-standard, de exemplu dacă http este trimis nu din portul 80 sau, dimpotrivă, atunci când încearcă să camufleze alte activitate de rețea, cum ar fi http care rulează pe portul 80).
Diferențele cu OpenDPI se reduc pentru a accepta protocoale suplimentare, portabilitate pentru platforma Windows, optimizare a performanței, adaptare pentru utilizare în aplicații pentru monitorizarea traficului în timp real (au fost eliminate unele caracteristici specifice care au încetinit motorul), construirea de capacități sub forma unui modul kernel Linux și suport pentru definirea sub -protocoale.
Principalele caracteristici noi ale nDPI 4.4
În această nouă versiune care este prezentată se evidențiază că au fost adăugate metadate cu informații despre motivul apelării controlorului pentru o anumită amenințare.
O altă schimbare importantă este în implementarea încorporată a gcrypt-ului, care este activată implicita (se sugerează opțiunea --with-libgcrypt pentru a utiliza implementarea sistemului).
Pe lângă aceasta, se subliniază și faptul că gama de amenințări de rețea detectate și probleme asociate a fost extinsă cu riscul de compromis (risc de flux) și, de asemenea, a adăugat suport pentru noile tipuri de amenințări: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT și NDPI_ANONYMOUS_SUBSCRIBER.
Adăugat funcția ndpi_check_flow_risk_exceptions() pentru a activa gestionarea amenințărilor de rețea, precum și două noi niveluri de confidențialitate au fost adăugate: NDPI_CONFIDENCE_DPI_PARTIAL și NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
De asemenea, se evidențiază faptul că legături actualizate pentru limbajul Python, implementarea internă a hashmap a fost înlocuită cu uthash, precum și împărțirea în protocoale de rețea (de exemplu, TLS) și protocoale de aplicație (de exemplu, servicii Google) și s-a adăugat șablonul pentru definirea utilizării serviciului WARP de la Cloudflare.
Pe de altă parte, se mai remarcă faptul că a adăugat detectarea protocolului pentru:
- UltraSurf
- i3D
- jocuri de revolte
- tsan
- TunnelBear VPN
- colectd
- PIM (Protocol Independent Multicast)
- Multicast general pragmatic (PGM)
- RSH
- Produse GoTo (în principal GoToMeeting)
- Dazn
- MPEG-DASH
- Agora Rețea în timp real definită de software (SD-RTN)
- Atingeți Boca
- VXLAN
- DMNS/LLMNR
Dintre celelalte schimbări care se remarcă pentru această nouă versiune:
- Remedieri pentru unele familii de clasificare a protocolului.
- S-au remediat porturile implicite de protocol pentru protocoalele de e-mail
- Diverse remedieri de memorie și de overflow
- Diverse riscuri dezactivate pentru anumite protocoale (de exemplu, dezactivați ALPN lipsă pentru CiscoVPN)
- Remediați decapsularea TZSP
- Actualizați listele ASN/IP
- Profilarea codului îmbunătățită
- Utilizați Doxygen pentru a genera documentația API
- Au fost adăugate CDN-uri Edgecast și Cachefly.
În cele din urmă dacă sunteți interesat să aflați mai multe despre asta Despre această nouă versiune, puteți verifica detaliile în următorul link.
Cum se instalează nDPI pe Linux?
Pentru cei care sunt interesați să poată instala acest instrument pe sistemul lor, o pot face urmând instrucțiunile pe care le împărtășim mai jos.
Pentru a instala instrumentul, trebuie să descărcam codul sursă și să-l compilam, dar înainte de asta dacă sunt Utilizatori Debian, Ubuntu sau derivati Dintre acestea, mai întâi trebuie să instalăm următoarele:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
În cazul celor care sunt Utilizatori Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Acum, pentru a compila, trebuie să descarcăm codul sursă, pe care îl puteți obține tastând:
git clone https://github.com/ntop/nDPI.git cd nDPI
Și trecem la compilarea instrumentului tastând:
./autogen.sh make
Dacă sunteți interesat să aflați mai multe despre utilizarea instrumentului, puteți verificați următorul link.