P razvijalci projektov ntop (ki razvijajo orodja za zajem in analizo prometa) dal vedeti nedavno izdan nova različica nDPI 4.4, ki je nadgradnja množice priljubljene knjižnice OpenDP.
nDPI Zanj je značilno, da ga ntop in nProbe uporabljata za dodajanje zaznavanja protokolov na aplikacijski plasti, ne glede na uporabljena vrata. To pomeni, da je znane protokole mogoče zaznati na nestandardnih vratih.
Projekt omogoča določanje protokolov na ravni aplikacije, ki se uporabljajo v prometu z analizo narave omrežne dejavnosti brez vezave na omrežna vrata (lahko določite znane protokole, katerih gonilniki sprejemajo povezave na nestandardnih omrežnih vratih, na primer, če http ni poslan iz vrat 80 ali obratno, ko poskušajo prikriti druge omrežna dejavnost, na primer http, ki se izvaja na vratih 80).
Razlike z OpenDPI se zreducirajo na podpori za dodatne protokole, prenosljivost za platformo Windows, optimizacija zmogljivosti, prilagoditev za uporabo v aplikacijah za spremljanje prometa v realnem času (odstranjene so bile nekatere posebne funkcije, ki so upočasnile delovanje motorja), izgradnja zmogljivosti v obliki modula jedra Linuxa in podpora za opredelitev pod -protokoli.
Glavne nove funkcije nDPI 4.4
V tej novi različici, ki je predstavljena opozoriti je treba, da so bili dodani metapodatki z informacijami o razlogu za klic upravljavca za določeno grožnjo.
Druga pomembna sprememba je v vgrajena implementacija gcrypt, ki je privzeto omogočenaa (za uporabo sistemske implementacije je predlagana možnost --with-libgcrypt).
Poleg tega je poudarjeno tudi, da razširjen je nabor zaznanih omrežnih groženj in z njimi povezanih težav s tveganjem ogrožanja (tveganje pretoka) in tudi dodano podporo za nove vrste groženj: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT in NDPI_ANONYMOUS_SUBSCRIBER.
Dodano funkcija ndpi_check_flow_risk_exceptions() za omogočanje obdelovalcev omrežnih groženj, dodani pa sta bili tudi dve novi ravni zasebnosti: NDPI_CONFIDENCE_DPI_PARTIAL in NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Poudarjeno je tudi, da posodobljene vezave za jezik python, notranja implementacija hashmapa je bila nadomeščena z uthash, prav tako je bila dodana delitev na omrežne protokole (na primer TLS) in aplikacijske protokole (na primer Googlove storitve) ter predlogi za definiranje uporabe dodana storitev WARP podjetja Cloudflare.
Po drugi strani pa se tudi ugotavlja, da dodano zaznavanje protokola za:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- zbrani
- PIM (od protokola neodvisno multicast)
- Pragmatično splošno večoddajanje (PGM)
- RSH
- Izdelki GoTo (predvsem GoToMeeting)
- dazn
- MPEG-DASH
- Programsko določeno omrežje v realnem času Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
Od ostalih sprememb ki izstopajo za to novo različico:
- Popravki za nekatere družine klasifikacij protokolov.
- Popravljena privzeta vrata protokola za e-poštne protokole
- Različni popravki pomnilnika in preliva
- Različna tveganja so onemogočena za določene protokole (na primer onemogočite manjkajoči ALPN za CiscoVPN)
- Popravi dekapsulacijo TZSP
- Posodobite sezname ASN/IP
- Izboljšano profiliranje kode
- Uporabite Doxygen za ustvarjanje dokumentacije API-ja
- Dodani CDN-ji Edgecast in Cachefly.
Končno če vas zanima več o tem O tej novi različici lahko podrobnosti preverite v naslednja povezava.
Kako namestiti nDPI na Linux?
Tisti, ki želijo namestiti to orodje v svoj sistem, lahko to storijo tako, da sledijo navodilom, ki jih delimo spodaj.
Če želite namestiti orodje, prenesti moramo izvorno kodo in jo prevesti, pred tem pa če sta Uporabniki Debian, Ubuntu ali izpeljanih Od teh moramo najprej namestiti naslednje:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
V primeru tistih, ki so Uporabniki Arch Linuxa:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Zdaj moramo za prevajanje prenesti izvorno kodo, ki jo lahko dobite tako, da vnesete:
git clone https://github.com/ntop/nDPI.git cd nDPI
In nadaljujemo s prevajanjem orodja tako, da vnesemo:
./autogen.sh make
Če vas zanima več o uporabi orodja, lahko preverite naslednjo povezavo.