nDPI 4.6 vine cu suport pentru noi protocoale, servicii și multe altele

Darkcrizt

Minute 4

ndpi

nDPI® este o bibliotecă LGPLv3 open source pentru inspecția profundă a pachetelor. Bazat pe OpenDPI, include extensii ntop.

The lansarea noii versiuni a nDPI 4.6 care introduce mai multe îmbunătățiri, precum și suport pentru mai multe protocoale și robustețe datorită codului fuzzing introdus în această versiune. Extragerea metadatelor protocolului a fost îmbunătățită în mai multe protocoale, la fel ca și detectarea DGA în numele de gazdă, printre altele.

ndpi Se caracterizează prin faptul că este folosit atât de ntop, cât și de nProbe pentru a adăuga detectarea protocoalelor la nivelul aplicației, indiferent de portul utilizat. Aceasta înseamnă că protocoalele cunoscute pot fi detectate pe porturi non-standard.

Proiectul vă permite să determinați protocoalele la nivel de aplicație utilizate în trafic analizând natura activității rețelei fără a se lega de porturile de rețea (puteți determina protocoale cunoscute ale căror drivere acceptă conexiuni pe porturi de rețea non-standard, de exemplu dacă http este trimis nu din portul 80 sau, dimpotrivă, atunci când încearcă să camufleze alte activitate de rețea, cum ar fi http care rulează pe portul 80).

Principalele caracteristici noi ale nDPI 4.6

În noua versiune a nDPI 4.6, a oferit capacitatea de a defini protocoale personalizate folosind filtre nBPF (de exemplu: „nbpf:»gazdă 192.168.1.1 și portul 80″@HomeRouter”).

también Performanța analizei traficului a fost mult îmbunătățită, precum și detectarea codului WebShell și PHP în URL-uri HTTP și definirea DGA (Domain Generational Algorithm).

Gama de amenințări și probleme de rețea detectate a fost extinsă asociat cu riscul de angajament (riscul de flux). S-a adăugat suport pentru noile tipuri de amenințări: NDPI_HTTP_OBSOLETE_SERVER (detectă versiuni vechi de Apache și nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

O altă noutate care este prezentată în această nouă versiune sunt cele teste fuzzing implementate împreună cu verificarea îmbunătățită a instrucțiunilor AES-NI și îmbunătățirile aduse serializării datelor în format JSON.

Pe de altă parte, se evidențiază și faptul că statistici adăugate pentru Patricia, Ahocarasick și cache LRU, precum și logica de îmbătrânire a intrării în cache LRU configurabilă, suport pentru fluxurile RTP pentru a transmite metadate în flux, iar utilitarul ndpiReader implementează suport pentru protocolul Linux Cooked Capture v2.

Din partea adăugărilor de suport pentru protocoale și servicii:

  • Activision
  • Acces la serverul AliCloud
  • Stai
  • CryNetwork
  • Anydesk
  • Bittorrent (remediere încredere, detectare prin TCP)
  • DNS, adăugați capacitatea de a decoda înregistrările DNS PTR utilizate pentru rezoluția inversă a adreselor
  • DTLS (tratează fragmentele de certificat)
  • Apeluri Facebook VoIP
  • FastCGI (disecare PARAMS)
  • FortiClient (actualizează porturile implicite)
  • Discordie
  • edns
  • Elasticsearch
  • FastCGI
  • soartă
  • Apeluri Liane App și Line VoIP
  • Meraki Cloud
  • muanin
  • NATPMP
  • Subclasificare HTTP
  • Verificați dacă user-agent este gol/lipsește în HTTP
  • IRC (verificarea acreditărilor)
  • Jabber / XMPP
  • Kerberos (suport pentru mesajele Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (evitați fals pozitive)
  • Syncthing
  • TP-LINK Smart Home
  • LANUL TĂU
  • SoftEtherVPN
  • Scară de coadă
  • TiVoConnect
  • SNMP
  • SMB (suport pentru mesaje împărțite în mai multe segmente TCP)
  • SMTP (suport pentru comanda X-ANONYMOUSTLS)
  • STUN
  • SKYPE (îmbunătățiți detectarea prin UDP, eliminați detectarea prin TCP)
  • Teamspeak3 (detecție licență/listă web)
  • Threema Messenger
  • zoom
  • Adăugați detectarea partajării ecranului Zoom
  • Adăugați detectarea fluxurilor Zoom peer-to-peer în STUN
  • Detectarea apelurilor Hangout/Duo Voip, optimizați căutările în arborele de protocol
  • HTTP
  • Gestionarea HTTP-Proxy și HTTP-Connect
  • postgres
  • POP3
  • QUIC (suport pentru pachetele 0-RTT primite înainte de inițial)
  • Apeluri VoIP Snapchat

În cele din urmă dacă sunteți interesat să aflați mai multe despre asta Despre această nouă versiune, puteți verifica detaliile în următorul link.

Cum se instalează nDPI pe Linux?

Pentru cei care sunt interesați să poată instala acest instrument pe sistemul lor, o pot face urmând instrucțiunile pe care le împărtășim mai jos.

Pentru a instala instrumentul, trebuie să descărcam codul sursă și să-l compilam, dar înainte de asta dacă sunt Utilizatori Debian, Ubuntu sau derivati Dintre acestea, mai întâi trebuie să instalăm următoarele:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

În cazul celor care sunt Utilizatori Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Acum, pentru a compila, trebuie să descarcăm codul sursă, pe care îl puteți obține tastând:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Și trecem la compilarea instrumentului tastând:

./autogen.sh
make

Dacă sunteți interesat să aflați mai multe despre utilizarea instrumentului, puteți verificați următorul link.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.