ลอส นักพัฒนาโครงการntop (ผู้พัฒนาเครื่องมือในการดักจับและวิเคราะห์ทราฟฟิก) ทำให้เป็นที่รู้จัก เพิ่งเปิดตัว เวอร์ชันใหม่ของ nDPI 4.4ซึ่งเป็นชุดปรับปรุงการบำรุงรักษาอย่างต่อเนื่องของไลบรารี OpenDP ยอดนิยม
สพป มีลักษณะการใช้งานโดยทั้ง ntop และ nProbe เพื่อเพิ่มการตรวจจับโปรโตคอล ที่ชั้นแอปพลิเคชัน ไม่ว่าจะใช้พอร์ตใดก็ตาม ซึ่งหมายความว่าสามารถตรวจจับโปรโตคอลที่รู้จักบนพอร์ตที่ไม่ได้มาตรฐานได้
โครงการ ช่วยให้คุณกำหนดโปรโตคอลระดับแอปพลิเคชันที่ใช้ในการรับส่งข้อมูล โดยการวิเคราะห์ธรรมชาติของกิจกรรมเครือข่ายโดยไม่ผูกมัดกับพอร์ตเครือข่าย (คุณสามารถกำหนดโปรโตคอลที่รู้จักซึ่งไดรเวอร์ยอมรับการเชื่อมต่อบนพอร์ตเครือข่ายที่ไม่ได้มาตรฐาน ตัวอย่างเช่น ถ้า http ไม่ได้ส่งมาจากพอร์ต 80 หรือในทางกลับกัน เมื่อพวกเขาพยายามพรางตัวอื่นๆ กิจกรรมเครือข่ายเช่น http ทำงานบนพอร์ต 80)
ความแตกต่างกับ OpenDPI จะลดลงเพื่อรองรับโปรโตคอลเพิ่มเติม, การพกพาสำหรับแพลตฟอร์ม Windows, การเพิ่มประสิทธิภาพ, การปรับตัวสำหรับใช้ในแอพพลิเคชั่นเพื่อตรวจสอบการรับส่งข้อมูลแบบเรียลไทม์ (คุณสมบัติเฉพาะบางอย่างที่ทำให้เครื่องยนต์ช้าลงถูกลบออก), สร้างความสามารถในรูปแบบของโมดูลเคอร์เนล Linux และรองรับการกำหนดย่อย -โปรโตคอล
คุณสมบัติใหม่หลักของ nDPI 4.4
ในเวอร์ชั่นใหม่ที่นำเสนอนี้ เน้นว่าข้อมูลเมตาถูกเพิ่มด้วยข้อมูลเกี่ยวกับสาเหตุของการเรียกคอนโทรลเลอร์ สำหรับภัยคุกคามโดยเฉพาะ
การเปลี่ยนแปลงที่สำคัญอีกประการหนึ่งคือใน การใช้งาน gcrypt ในตัวซึ่งเปิดใช้งานโดยค่าเริ่มต้นa (แนะนำให้ใช้ตัวเลือก --with-libgcrypt เพื่อใช้งานระบบ)
นอกจากนี้ ยังเน้นย้ำว่า ขยายขอบเขตของภัยคุกคามเครือข่ายที่ตรวจพบและปัญหาที่เกี่ยวข้อง ด้วยความเสี่ยงที่จะถูกประนีประนอม (ความเสี่ยงของการไหล) และยังเพิ่มการสนับสนุนสำหรับภัยคุกคามประเภทใหม่: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT และ NDPI_ANONYMOUS_SUBSCRIBER
เพิ่มแล้ว ฟังก์ชัน ndpi_check_flow_risk_exceptions() เพื่อเปิดใช้งานตัวจัดการภัยคุกคามเครือข่ายและได้เพิ่มระดับความเป็นส่วนตัวใหม่สองระดับแล้ว: NDPI_CONFIDENCE_DPI_PARTIAL และ NDPI_CONFIDENCE_DPI_PARTIAL_CACHE
นอกจากนี้ยังมีการเน้นย้ำว่า ปรับปรุงการผูกสำหรับภาษาหลามการใช้งาน hashmap ภายในถูกแทนที่ด้วย uthash เช่นเดียวกับการแบ่งส่วนโปรโตคอลเครือข่าย (เช่น TLS) และโปรโตคอลแอปพลิเคชัน (เช่น บริการของ Google) และเทมเพลตสำหรับกำหนดการใช้งานได้รับการเพิ่มบริการ WARP ของ Cloudflare
ในทางกลับกัน ยังมีข้อสังเกตอีกว่า เพิ่มการตรวจจับโปรโตคอลสำหรับ:
- อัลตร้าเซิร์ฟ
- ไอวันดี
- riotgames
- ซาน
- TunnelBear VPN
- สะสม
- PIM (โปรโตคอลอิสระ Multicast)
- มัลติคาสต์ทั่วไปของ Pragmatic (PGM)
- RSH
- ผลิตภัณฑ์ GoTo (ส่วนใหญ่เป็น GoToMeeting)
- ดาซน์
- MPEG-DASH
- ซอฟต์แวร์ Agora กำหนดเครือข่ายแบบเรียลไทม์ (SD-RTN)
- แตะ Boca
- วีเอ็กซ์แลน
- DMNS/LLMNR
จากการเปลี่ยนแปลงอื่น ๆ ที่โดดเด่นสำหรับเวอร์ชั่นใหม่นี้:
- แก้ไขสำหรับครอบครัวการจัดประเภทโปรโตคอลบางกลุ่ม
- แก้ไขพอร์ตโปรโตคอลเริ่มต้นสำหรับโปรโตคอลอีเมล
- การแก้ไขหน่วยความจำและโอเวอร์โฟลว์ต่างๆ
- ความเสี่ยงต่างๆ ถูกปิดใช้งานสำหรับโปรโตคอลเฉพาะ (เช่น ปิดใช้งาน ALPN ที่ขาดหายไปสำหรับ CiscoVPN)
- แก้ไขการแตกแคปซูลของ TZSP
- อัปเดตรายการ ASN/IP
- ปรับปรุงโปรไฟล์โค้ด
- ใช้ Doxygen เพื่อสร้างเอกสาร API
- เพิ่ม Edgecast และ Cachefly CDN
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับเวอร์ชันใหม่นี้ คุณสามารถตรวจสอบรายละเอียดใน ลิงค์ต่อไปนี้
จะติดตั้ง nDPI บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจจะสามารถติดตั้งเครื่องมือนี้ในระบบของพวกเขา สามารถทำได้โดยทำตามคำแนะนำที่เราแบ่งปันด้านล่าง
ในการติดตั้งเครื่องมือ เราต้องดาวน์โหลดซอร์สโค้ดและคอมไพล์มันแต่ก่อนหน้านั้นถ้าเป็น ผู้ใช้ Debian, Ubuntu หรืออนุพันธ์ เราต้องติดตั้งสิ่งต่อไปนี้ก่อน:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
ในกรณีของผู้ที่มี ผู้ใช้ Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
ตอนนี้ ในการคอมไพล์ เราต้องดาวน์โหลดซอร์สโค้ด ซึ่งคุณสามารถรับได้โดยพิมพ์:
git clone https://github.com/ntop/nDPI.git cd nDPI
และเราดำเนินการรวบรวมเครื่องมือโดยพิมพ์:
./autogen.sh make
หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้เครื่องมือนี้ คุณสามารถ ตรวจสอบลิงค์ต่อไปนี้