nDPI 4.6 kommer med stöd för nya protokoll, tjänster och mer

Darkcrizt

4 minuter

ndpi

nDPI® är ett LGPLv3-bibliotek med öppen källkod för djuppaketinspektion. Baserat på OpenDPI, inkluderar ntop-tillägg.

De release av den nya versionen av nDPI 4.6 som introducerar flera förbättringar, samt stöd för fler protokoll och robusthet tack vare den otydliga koden som introduceras i denna version. Protokollmetadataextraktion har förbättrats över flera protokoll, liksom DGA-detektering i bland annat värdnamn.

ndpi Det kännetecknas av att det används av både ntop och nProbe för att lägga till detektering av protokoll i applikationsskiktet, oavsett vilken port som används. Detta innebär att det är möjligt att upptäcka kända protokoll på icke-standardiserade portar.

Projektet låter dig bestämma de protokoll på applikationsnivå som används i trafiken genom att analysera typen av nätverksaktivitet utan att binda till nätverksportar (du kan bestämma kända protokoll vars drivrutiner accepterar anslutningar till icke-standardiserade nätverksportar, till exempel om http inte skickas från port 80, eller omvänt, när de försöker kamouflera andra nätverksaktivitet som http körs på port 80).

Nya huvudsakliga funktioner i nDPI 4.6

I den nya versionen av nDPI 4.6, förutsatt möjlighet att definiera anpassade protokoll med nBPF-filter (till exempel: 'nbpf:»värd 192.168.1.1 och port 80″@HomeRouter').

Tambien trafikanalysprestanda har förbättrats avsevärt, samt detektering av WebShell- och PHP-kod i HTTP-URL:er och definitionen av DGA (Domain Generational Algorithm).

Utbudet av upptäckta nätverkshot och problem har utökats förknippad med engagemangsrisk (flödesrisk). Tillagt stöd för nya hottyper: NDPI_HTTP_OBSOLETE_SERVER (upptäcker gamla versioner av Apache och nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

En annan nyhet som presenteras i denna nya version är fuzzing tester genomförda tillsammans med förbättrad kontroll av AES-NI-instruktioner och förbättringar av dataserialisering i JSON-format.

Å andra sidan framhävs det också lagt till statistik för Patricia, Ahocarasick och LRU-cache, samt konfigurerbar LRU-cache-åldringslogik, stöd för RTP-strömmar för att strömma metadata, och verktyget ndpiReader implementerar stöd för Linux Cooked Capture v2-protokollet.

På sidan av supporttilläggen för protokoll och tjänster:

  • Activision
  • AliCloud-serveråtkomst
  • Avast
  • CryNetwork
  • Anydesk
  • Bittorrent (fix förtroende, upptäckt över TCP)
  • DNS, lägg till möjlighet att avkoda DNS PTR-poster som används för omvänd adressupplösning
  • DTLS (hantera certifikatfragment)
  • Facebook VoIP-samtal
  • FastCGI (dissect PARAMS)
  • FortiClient (uppdatera standardportar)
  • Discord
  • edns
  • Elasticsearch
  • FastCGI
  • Kismet
  • Liane App och Line VoIP-samtal
  • Meraki moln
  • muanin
  • NATPMP
  • HTTP-underklassificering
  • Kontrollera om det finns tom/saknad användaragent i HTTP
  • IRC (referenskontroll)
  • Jabber / XMPP
  • Kerberos (stöd för Krb-felmeddelanden)
  • LDAP
  • MGCP
  • MONGODB (undvik falska positiva)
  • Syncthing
  • TP-LINK Smart Home
  • DITT LAN
  • SoftEther VPN
  • Svansskala
  • TiVoConnect
  • SNMP
  • SMB (stöd för meddelanden uppdelade i flera TCP-segment)
  • SMTP (stöd för X-ANONYMOUSTLS kommando)
  • BEDÖVA
  • SKYPE (förbättra upptäckt över UDP, ta bort upptäckt över TCP)
  • Teamspeak3 (identifiering av licens/webblista)
  • Threema Messenger
  • Zoom
  • Lägg till detektering av zoomskärmdelning
  • Lägg till detektering av Zoom peer-to-peer-flöden i STUN
  • Hangout/Duo Voip-samtalsdetektering, optimera uppslagningar i protokollträdet
  • HTTP
  • Hantering av HTTP-Proxy och HTTP-Connect
  • postgres
  • POP3
  • QUIC (stöd för 0-RTT-paket som tagits emot före initialen)
  • Snapchat VoIP-samtal

Slutligen om du är intresserad av att veta mer om det Om den här nya versionen kan du kontrollera detaljerna i följande länk.

Hur installerar man nDPI på Linux?

För de som är intresserade av att kunna installera detta verktyg på sitt system kan de göra det genom att följa instruktionerna som vi delar nedan.

För att installera verktyget, vi måste ladda ner källkoden och kompilera den, men innan dess om de är det Debian-, Ubuntu- eller derivatanvändare Av dessa måste vi först installera följande:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

När det gäller de som är Arch Linux-användare:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Nu, för att kompilera, måste vi ladda ner källkoden, som du kan få genom att skriva:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Och vi fortsätter att kompilera verktyget genom att skriva:

./autogen.sh
make

Om du är intresserad av att veta mer om användningen av verktyget kan du kolla följande länk.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.