nDPI® je open source knižnica LGPLv3 na hĺbkovú kontrolu paketov. Založené na OpenDPI, zahŕňa rozšírenia ntop.
The vydanie novej verzie nDPI 4.6 ktorý prináša niekoľko vylepšení, ako aj podporu viacerých protokolov a robustnosť vďaka fuzzing kódu zavedenému v tejto verzii. Extrakcia metadát protokolu bola vylepšená v niekoľkých protokoloch, ako aj detekcia DGA v názvoch hostiteľov, okrem iného.
nDPI Je charakterizovaný tým, že ho používa ntop aj nProbe na pridanie detekcie protokolov na aplikačnej vrstve bez ohľadu na používaný port. To znamená, že je možné detekovať známe protokoly na neštandardných portoch.
Projekt vám umožňuje určiť protokoly na úrovni aplikácie používané v prevádzke analýzou charakteru sieťovej aktivity bez väzby na sieťové porty (môžete určiť známe protokoly, ktorých ovládače akceptujú pripojenia na neštandardných sieťových portoch, napríklad ak sa http neposiela z portu 80, alebo naopak, keď sa pokúšajú maskovať iné sieťová aktivita, ako napríklad http bežiaci na porte 80).
Hlavné nové funkcie nDPI 4.6
V novom vydaní nDPI 4.6, poskytuje možnosť definovať vlastné protokoly pomocou filtrov nBPF (napríklad: 'nbpf:»hostiteľ 192.168.1.1 a port 80″@HomeRouter').
tiež výkonnosť analýzy návštevnosti sa výrazne zlepšila, ako aj detekciu WebShell a PHP kódu v HTTP URL a definíciu DGA (Domain Generational Algorithm).
Rozsah zistených sieťových hrozieb a problémov bol rozšírený spojené s rizikom záväzku (riziko toku). Pridaná podpora pre nové typy hrozieb: NDPI_HTTP_OBSOLETE_SERVER (zisťuje staré verzie Apache a nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Ďalšou novinkou, ktorá je prezentovaná v tejto novej verzii sú implementované fuzzing testy spolu s vylepšenou kontrolou inštrukcií AES-NI a vylepšeniami pri serializácii údajov vo formáte JSON.
Na druhej strane sa tiež zdôrazňuje, že pridané štatistiky pre Patriciu, Ahocarasick a LRU cache, ako aj konfigurovateľná logika starnutia vyrovnávacej pamäte LRU, podpora RTP streamov na streamovanie metadát a pomocný program ndpiReader implementuje podporu pre protokol Linux Cooked Capture v2.
Na strane doplnkov podpory pre protokoly a služby:
- Activision
- Prístup na server AliCloud
- AVAST
- CryNetwork
- Anydesk
- Bittorrent (fixná spoľahlivosť, detekcia cez TCP)
- DNS, pridajte možnosť dekódovať záznamy DNS PTR používané na spätné rozlíšenie adries
- DTLS (spracovanie fragmentov certifikátu)
- Facebook VoIP hovory
- FastCGI (rozobrať PARAMS)
- FortiClient (aktualizácia predvolených portov)
- zvar
- edns
- ElasticSearch
- FastCGI
- osud
- Liane App a Line VoIP hovory
- Meraki Cloud
- muanin
- NATPMP
- Podklasifikácia HTTP
- Skontrolujte, či v HTTP nie je prázdny/chýbajúci používateľský agent
- IRC (kontrola poverení)
- Jabber / XMPP
- Kerberos (podpora chybových správ Krb)
- LDAP
- MGCP
- MONGODB (vyhnite sa falošným poplachom)
- Syncthing
- Inteligentný dom TP-LINK
- VAŠA LAN
- SoftEtherVPN
- Chvostová mierka
- TiVoConnect
- SNMP
- SMB (podpora správ rozdelených do viacerých segmentov TCP)
- SMTP (podpora príkazu X-ANONYMOUSTLS)
- STUN
- SKYPE (zlepšiť detekciu cez UDP, odstrániť detekciu cez TCP)
- Teamspeak3 (detekcia licencií/webového zoznamu)
- Posol Threema
- zoom
- Pridať detekciu zdieľania obrazovky priblíženia
- Pridajte detekciu zoom peer-to-peer tokov v STUN
- Detekcia hovorov Hangout/Duo Voip, optimalizácia vyhľadávania v strome protokolov
- HTTP
- Obsluha HTTP-Proxy a HTTP-Connect
- Postgres
- POP3
- QUIC (podpora paketov 0-RTT prijatých pred prvým)
- Snapchat VoIP hovory
Konečne ak máte záujem dozvedieť sa o tom viac O tejto novej verzii môžete skontrolovať podrobnosti v nasledujúci odkaz.
Ako nainštalovať nDPI na Linux?
Pre tých, ktorí majú záujem o možnosť nainštalovať tento nástroj do svojho systému, môžu tak urobiť podľa pokynov, ktoré zdieľame nižšie.
Ak chcete nástroj nainštalovať, musíme stiahnuť zdrojový kód a skompilovať ho, ale predtým, ak sú Používatelia Debianu, Ubuntu alebo derivátov Z nich musíme najprv nainštalovať nasledovné:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
V prípade tých, ktoré sú Používatelia Arch Linuxu:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Teraz, aby sme mohli kompilovať, musíme stiahnuť zdrojový kód, ktorý môžete získať zadaním:
git clone https://github.com/ntop/nDPI.git cd nDPI
A pokračujeme v kompilácii nástroja zadaním:
./autogen.sh make
Ak máte záujem dozvedieť sa viac o používaní nástroja, môžete skontrolujte nasledujúci odkaz.