разработчики проектов ntop (которые разрабатывают инструменты для захвата и анализа трафика) сделал известным недавно выпущенный новая версия nDPI 4.4, который является расширенным набором постоянно обновляемой популярной библиотеки OpenDP.
нДПИ Он характеризуется тем, что используется как ntop, так и nProbe для добавления обнаружения протоколов. на прикладном уровне, независимо от используемого порта. Это означает, что известные протоколы могут быть обнаружены на нестандартных портах.
В рамках проекта позволяет определять протоколы уровня приложения, используемые в трафике анализируя характер сетевой активности без привязки к сетевым портам (можно определить известные протоколы, драйверы которых принимают подключения на нестандартных сетевых портах, например, если http отправляется не с порта 80, или, наоборот, когда они пытаются замаскировать другие сетевая активность, такая как http, работающий на порту 80).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов., переносимость для платформы Windows, оптимизация производительности, адаптация для использования в приложениях для мониторинга трафика в реальном времени (были удалены некоторые специфические функции, замедлявшие работу движка), возможности построения в виде модуля ядра Linux и поддержка определения под -протоколы.
Основные новые функции nDPI 4.4
В этой новой версии, которая представлена отмечено добавление метаданных с информацией о причине вызова контроллера для конкретной угрозы.
Еще одно важное изменение - в встроенная реализация gcrypt, включенная по умолчаниюa (опция --with-libgcrypt предлагается использовать системную реализацию).
В дополнение к этому также подчеркивается, что расширен спектр обнаруживаемых сетевых угроз и связанных с ними проблем с риском компрометации (риск потока), а также добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
Добавлено функция ndpi_check_flow_risk_exceptions() для включения обработчиков сетевых угроз, а также добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Также подчеркивается, что обновлены привязки для языка python, внутренняя реализация hashmap заменена на uthash, а также добавлено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google) и шаблон для определения использования WARP-сервиса Cloudflare.
С другой стороны, также отмечается, что добавлено обнаружение протокола для:
- UltraSurf
- i3D
- riotgames
- ЦАН
- TunnelBear VPN
- собирать
- PIM (многоадресная рассылка, независимая от протокола)
- Прагматичная общая многоадресная рассылка (PGM)
- РШ
- Продукты GoTo (в основном GoToMeeting)
- Dazn
- MPEG-DASH
- Программно определяемая сеть реального времени Agora (SD-RTN)
- Toca Boca
- ВКСЛАН
- DMNS/LLMNR
Из других изменений которые выделяются в этой новой версии:
- Исправления для некоторых семейств классификации протоколов.
- Исправлены порты протоколов по умолчанию для протоколов электронной почты.
- Различные исправления памяти и переполнения
- Различные риски отключены для определенных протоколов (например, отключить отсутствующий ALPN для CiscoVPN)
- Исправить декапсуляцию TZSP
- Обновление списков ASN/IP
- Улучшенное профилирование кода
- Используйте Doxygen для создания документации API
- Добавлены Edgecast и Cachefly CDN.
В конце концов если вам интересно узнать об этом больше Об этой новой версии вы можете проверить подробности в по следующей ссылке.
Как установить nDPI в Linux?
Для тех, кто заинтересован в возможности установить этот инструмент в своей системе, они могут сделать это, следуя инструкциям, которые мы публикуем ниже.
Чтобы установить инструмент, мы должны загрузить исходный код и скомпилировать его, но до этого, если они Пользователи Debian, Ubuntu или производных Из них мы должны сначала установить следующее:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
В случае тех, кто Пользователи Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Теперь, чтобы скомпилировать, мы должны загрузить исходный код, который вы можете получить, набрав:
git clone https://github.com/ntop/nDPI.git cd nDPI
И мы приступаем к компиляции инструмента, набрав:
./autogen.sh make
Если вам интересно узнать больше об использовании инструмента, вы можете проверьте следующую ссылку.