nDPI 4.4 поставляется с улучшенной поддержкой протокола и многим другим.

разработчики проектов ntop (которые разрабатывают инструменты для захвата и анализа трафика) сделал известным недавно выпущенный новая версия nDPI 4.4, который является расширенным набором постоянно обновляемой популярной библиотеки OpenDP.

нДПИ Он характеризуется тем, что используется как ntop, так и nProbe для добавления обнаружения протоколов. на прикладном уровне, независимо от используемого порта. Это означает, что известные протоколы могут быть обнаружены на нестандартных портах.

В рамках проекта позволяет определять протоколы уровня приложения, используемые в трафике анализируя характер сетевой активности без привязки к сетевым портам (можно определить известные протоколы, драйверы которых принимают подключения на нестандартных сетевых портах, например, если http отправляется не с порта 80, или, наоборот, когда они пытаются замаскировать другие сетевая активность, такая как http, работающий на порту 80).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов., переносимость для платформы Windows, оптимизация производительности, адаптация для использования в приложениях для мониторинга трафика в реальном времени (были удалены некоторые специфические функции, замедлявшие работу движка), возможности построения в виде модуля ядра Linux и поддержка определения под -протоколы.

Основные новые функции nDPI 4.4

В этой новой версии, которая представлена отмечено добавление метаданных с информацией о причине вызова контроллера для конкретной угрозы.

Еще одно важное изменение - в встроенная реализация gcrypt, включенная по умолчаниюa (опция --with-libgcrypt предлагается использовать системную реализацию).

В дополнение к этому также подчеркивается, что расширен спектр обнаруживаемых сетевых угроз и связанных с ними проблем с риском компрометации (риск потока), а также добавлена ​​поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.

Добавлено функция ndpi_check_flow_risk_exceptions() для включения обработчиков сетевых угроз, а также добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.

Также подчеркивается, что обновлены привязки для языка python, внутренняя реализация hashmap заменена на uthash, а также добавлено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google) и шаблон для определения использования WARP-сервиса Cloudflare.

С другой стороны, также отмечается, что добавлено обнаружение протокола для:

  • UltraSurf
  • i3D
  • riotgames
  • ЦАН
  • TunnelBear VPN
  • собирать
  • PIM (многоадресная рассылка, независимая от протокола)
  • Прагматичная общая многоадресная рассылка (PGM)
  • РШ
  • Продукты GoTo (в основном GoToMeeting)
  • Dazn
  • MPEG-DASH
  • Программно определяемая сеть реального времени Agora (SD-RTN)
  • Toca Boca
  • VXLAN
  • DMNS/LLMNR

Из других изменений которые выделяются в этой новой версии:

  • Исправления для некоторых семейств классификации протоколов.
  • Исправлены порты протоколов по умолчанию для протоколов электронной почты.
  • Различные исправления памяти и переполнения
  • Различные риски отключены для определенных протоколов (например, отключить отсутствующий ALPN для CiscoVPN)
  • Исправить декапсуляцию TZSP
  • Обновление списков ASN/IP
  • Улучшенное профилирование кода
  • Используйте Doxygen для создания документации API
  • Добавлены Edgecast и Cachefly CDN.

В конце концов если вам интересно узнать об этом больше Об этой новой версии вы можете проверить подробности в по следующей ссылке.

Как установить nDPI в Linux?

Для тех, кто заинтересован в возможности установить этот инструмент в своей системе, они могут сделать это, следуя инструкциям, которые мы публикуем ниже.

Чтобы установить инструмент, мы должны загрузить исходный код и скомпилировать его, но до этого, если они Пользователи Debian, Ubuntu или производных Из них мы должны сначала установить следующее:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

В случае тех, кто Пользователи Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Теперь, чтобы скомпилировать, мы должны загрузить исходный код, который вы можете получить, набрав:

git clone https://github.com/ntop/nDPI.git

cd nDPI

И мы приступаем к компиляции инструмента, набрав:

./autogen.sh
make

Если вам интересно узнать больше об использовании инструмента, вы можете проверьте следующую ссылку.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.