nDPI 4.6 prihaja s podporo za nove protokole, storitve in drugo

Darkcrizt

4 minut

nDPI

nDPI® je odprtokodna knjižnica LGPLv3 za globok pregled paketov. Temelji na OpenDPI, vključuje razširitve ntop.

The izid nove različice nDPI 4.6 ki uvaja številne izboljšave, kot tudi podporo za več protokolov in robustnost zahvaljujoč kodi fuzzing, predstavljeni v tej različici. Ekstrakcija metapodatkov protokola je bila izboljšana v več protokolih, med drugim tudi zaznavanje DGA v imenih gostiteljev.

nDPI Zanj je značilno, da ga ntop in nProbe uporabljata za dodajanje zaznavanja protokolov na aplikacijski plasti, ne glede na uporabljena vrata. To pomeni, da je znane protokole mogoče zaznati na nestandardnih vratih.

Projekt omogoča določanje protokolov na ravni aplikacije, ki se uporabljajo v prometu z analizo narave omrežne dejavnosti brez vezave na omrežna vrata (lahko določite znane protokole, katerih gonilniki sprejemajo povezave na nestandardnih omrežnih vratih, na primer, če http ni poslan iz vrat 80 ali obratno, ko poskušajo prikriti druge omrežna dejavnost, na primer http, ki se izvaja na vratih 80).

Glavne nove funkcije nDPI 4.6

V novi izdaji nDPI 4.6, zagotovljena možnost definiranja protokolov po meri z uporabo filtrov nBPF (na primer: 'nbpf:»gostitelj 192.168.1.1 in vrata 80″@HomeRouter').

Tudi uspešnost analize prometa je bila močno izboljšana, kot tudi zaznavanje kode WebShell in PHP v URL-jih HTTP ter definicija DGA (algoritem za generiranje domene).

Obseg zaznanih omrežnih groženj in težav je bil razširjen povezano s tveganjem prevzema (tveganje toka). Dodana podpora za nove vrste groženj: NDPI_HTTP_OBSOLETE_SERVER (zazna stare različice Apache in nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Druga novost, ki je predstavljena v tej novi različici, so izvedenih fuzzing testov skupaj z izboljšanim preverjanjem navodil AES-NI in izboljšavami serializacije podatkov v formatu JSON.

Po drugi strani pa je poudarjeno tudi to dodana statistika za predpomnilnik Patricia, Ahocarasick in LRU, kot tudi nastavljivo logiko staranja vnosov v predpomnilnik LRU, podporo za tokove RTP za pretakanje metapodatkov in da pripomoček ndpiReader izvaja podporo za protokol Linux Cooked Capture v2.

Na strani podpornih dodatkov za protokole in storitve:

  • Activision
  • Dostop do strežnika AliCloud
  • Avast
  • CryNetwork
  • Anydesk
  • Bittorrent (zaupanje popravkov, zaznavanje prek TCP)
  • DNS, dodajte zmožnost dekodiranja zapisov DNS PTR, ki se uporabljajo za povratno ločljivost naslovov
  • DTLS (obravnava fragmente potrdila)
  • Facebook VoIP klici
  • FastCGI (seciranje PARAMOV)
  • FortiClient (posodobi privzeta vrata)
  • Razpad
  • edns
  • Elastično iskanje
  • FastCGI
  • Kismet
  • Liane App in Line VoIP klici
  • Oblak Meraki
  • muanin
  • NATPMP
  • Podrazvrstitev HTTP
  • Preverite prazen/manjkajoči uporabniški agent v HTTP
  • IRC (preverjanje poverilnic)
  • Jabber / XMPP
  • Kerberos (podpora za sporočila o napakah Krb)
  • LDAP
  • MGCP
  • MONGODB (izogibajte se lažnim pozitivnim rezultatom)
  • Sinhronizacija
  • TP-LINK Pametni dom
  • VAŠ LAN
  • SoftEtherVPN
  • tailscale
  • TiVoConnect
  • SNMP
  • SMB (podpora za sporočila, razdeljena na več segmentov TCP)
  • SMTP (podpora za ukaz X-ANONYMOUSTLS)
  • ZADNJI
  • SKYPE (izboljša zaznavanje prek UDP, odstrani zaznavanje prek TCP)
  • Teamspeak3 (zaznavanje licence/spletni seznam)
  • Threema Messenger
  • Zoom
  • Dodajte zaznavanje skupne rabe zaslona Zoom
  • Dodajte zaznavanje tokov Zoom peer-to-peer v STUN
  • Zaznavanje klicev Hangout/Duo Voip, optimizirajte iskanje v drevesu protokola
  • HTTP
  • Ravnanje s HTTP-Proxy in HTTP-Connect
  • postgres
  • POP3
  • QUIC (podpora za pakete 0-RTT, prejete pred začetnim)
  • Snapchat VoIP klici

Končno če vas zanima več o tem O tej novi različici lahko podrobnosti preverite v naslednja povezava.

Kako namestiti nDPI na Linux?

Tisti, ki želijo namestiti to orodje v svoj sistem, lahko to storijo tako, da sledijo navodilom, ki jih delimo spodaj.

Če želite namestiti orodje, prenesti moramo izvorno kodo in jo prevesti, pred tem pa če sta Uporabniki Debian, Ubuntu ali izpeljanih Od teh moramo najprej namestiti naslednje:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

V primeru tistih, ki so Uporabniki Arch Linuxa:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Zdaj moramo za prevajanje prenesti izvorno kodo, ki jo lahko dobite tako, da vnesete:

git clone https://github.com/ntop/nDPI.git

cd nDPI

In nadaljujemo s prevajanjem orodja tako, da vnesemo:

./autogen.sh
make

Če vas zanima več o uporabi orodja, lahko preverite naslednjo povezavo.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.