ดิ การเปิดตัวเวอร์ชันใหม่ของ nDPI 4.6 ซึ่งแนะนำการปรับปรุงหลายประการ เช่นเดียวกับการรองรับโปรโตคอลและความทนทานที่มากขึ้นด้วยรหัส fuzzing ที่แนะนำในเวอร์ชันนี้ การแยกข้อมูลเมตาของโปรโตคอลได้รับการปรับปรุงในหลายๆ โปรโตคอล เช่นเดียวกับการตรวจจับ DGA ในชื่อโฮสต์ เหนือสิ่งอื่นใด
สพป มีลักษณะการใช้งานโดยทั้ง ntop และ nProbe เพื่อเพิ่มการตรวจจับโปรโตคอล ที่ชั้นแอปพลิเคชัน ไม่ว่าจะใช้พอร์ตใดก็ตาม ซึ่งหมายความว่าสามารถตรวจจับโปรโตคอลที่รู้จักบนพอร์ตที่ไม่ได้มาตรฐานได้
โครงการ ช่วยให้คุณกำหนดโปรโตคอลระดับแอปพลิเคชันที่ใช้ในการรับส่งข้อมูล โดยการวิเคราะห์ธรรมชาติของกิจกรรมเครือข่ายโดยไม่ผูกมัดกับพอร์ตเครือข่าย (คุณสามารถกำหนดโปรโตคอลที่รู้จักซึ่งไดรเวอร์ยอมรับการเชื่อมต่อบนพอร์ตเครือข่ายที่ไม่ได้มาตรฐาน ตัวอย่างเช่น ถ้า http ไม่ได้ส่งมาจากพอร์ต 80 หรือในทางกลับกัน เมื่อพวกเขาพยายามพรางตัวอื่นๆ กิจกรรมเครือข่ายเช่น http ทำงานบนพอร์ต 80)
คุณสมบัติใหม่หลักของ nDPI 4.6
ในรุ่นใหม่ของ nDPI 4.6 ให้ความสามารถในการกำหนดโปรโตคอลที่กำหนดเองโดยใช้ตัวกรอง nBPF (ตัวอย่างเช่น: 'nbpf:»โฮสต์ 192.168.1.1 และพอร์ต 80″@HomeRouter')
tambien ประสิทธิภาพการวิเคราะห์การจราจรได้รับการปรับปรุงอย่างมาก เช่นเดียวกับการตรวจหาโค้ด WebShell และ PHP ใน HTTP URL และคำจำกัดความของ DGA (Domain Generational Algorithm)
ช่วงของภัยคุกคามและปัญหาเครือข่ายที่ตรวจพบได้รับการขยาย เกี่ยวข้องกับความเสี่ยงด้านภาระผูกพัน (ความเสี่ยงด้านโฟลว์) เพิ่มการรองรับภัยคุกคามประเภทใหม่: NDPI_HTTP_OBSOLETE_SERVER (ตรวจจับ Apache และ nginx เวอร์ชันเก่า), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES
อีกหนึ่งความแปลกใหม่ที่นำเสนอในเวอร์ชั่นใหม่นี้คือ ดำเนินการทดสอบแบบคลุมเครือ พร้อมกับการปรับปรุงการตรวจสอบคำสั่ง AES-NI และการปรับปรุงการทำให้เป็นอนุกรมข้อมูลในรูปแบบ JSON
อีกด้านหนึ่ง ยังเน้นย้ำว่า เพิ่มสถิติสำหรับแคช Patricia, Ahocarasick และ LRU เช่นเดียวกับลอจิกอายุของรายการแคช LRU ที่กำหนดค่าได้ รองรับสตรีม RTP เพื่อสตรีมข้อมูลเมตา และยูทิลิตี้ ndpiReader ใช้การสนับสนุนโปรโตคอล Linux Cooked Capture v2
ในส่วนของการสนับสนุนเพิ่มเติมสำหรับโปรโตคอลและบริการ:
- Activision
- การเข้าถึงเซิร์ฟเวอร์ AliCloud
- Avast
- ไครเน็ตเวิร์ค
- เอนี่เดสก์
- Bittorrent (แก้ไขความเชื่อมั่น การตรวจจับผ่าน TCP)
- DNS เพิ่มความสามารถในการถอดรหัสระเบียน DNS PTR ที่ใช้สำหรับการแก้ไขที่อยู่ย้อนกลับ
- DTLS (จัดการส่วนใบรับรอง)
- โทร Facebook VoIP
- FastCGI (ผ่า PARAMS)
- FortiClient (อัปเดตพอร์ตเริ่มต้น)
- ไม่ลงรอยกัน
- จบ
- ElasticSearch
- FastCGI
- โชคชะตา
- Liane App และ Line VoIP โทร
- เมรากิ คลาวด์
- มูนิน
- แนทพีเอ็ม
- การจัดประเภทย่อย HTTP
- ตรวจสอบ user-agent ที่ว่างเปล่า/ขาดหายไปใน HTTP
- IRC (การตรวจสอบข้อมูลประจำตัว)
- Jabber / XMPP
- Kerberos (รองรับข้อความ Krb-Error)
- LDAP
- เอ็มจีซีพี
- MONGODB (หลีกเลี่ยงผลบวกปลอม)
- Syncthing
- TP-LINK สมาร์ทโฮม
- LAN ของคุณ
- SoftEtherVPN
- หางเครื่อง
- ทีโวคอนเน็ค
- SNMP
- SMB (รองรับข้อความที่แบ่งออกเป็นหลายส่วน TCP)
- SMTP (รองรับคำสั่ง X-ANONYMOUSTLS)
- งัน
- SKYPE (ปรับปรุงการตรวจจับผ่าน UDP ลบการตรวจจับผ่าน TCP)
- Teamspeak3 (การตรวจจับใบอนุญาต/รายการเว็บ)
- ทรีมา เมสเซนเจอร์
- Zoom
- เพิ่มการตรวจจับการแชร์หน้าจอซูม
- เพิ่มการตรวจจับโฟลว์เพียร์ทูเพียร์ของ Zoom ใน STUN
- การตรวจจับการโทร Hangout/Duo Voip เพิ่มประสิทธิภาพการค้นหาในโครงสร้างโปรโตคอล
- HTTP
- การจัดการ HTTP-Proxy และ HTTP-Connect
- โพสต์เกรส
- POP3
- QUIC (รองรับแพ็คเก็ต 0-RTT ที่ได้รับก่อนเริ่มต้น)
- การโทร VoIP ของ Snapchat
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับเวอร์ชันใหม่นี้ คุณสามารถตรวจสอบรายละเอียดใน ลิงค์ต่อไปนี้
จะติดตั้ง nDPI บน Linux ได้อย่างไร?
สำหรับผู้ที่สนใจจะสามารถติดตั้งเครื่องมือนี้ในระบบของพวกเขา สามารถทำได้โดยทำตามคำแนะนำที่เราแบ่งปันด้านล่าง
ในการติดตั้งเครื่องมือ เราต้องดาวน์โหลดซอร์สโค้ดและคอมไพล์มันแต่ก่อนหน้านั้นถ้าเป็น ผู้ใช้ Debian, Ubuntu หรืออนุพันธ์ เราต้องติดตั้งสิ่งต่อไปนี้ก่อน:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
ในกรณีของผู้ที่มี ผู้ใช้ Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
ตอนนี้ ในการคอมไพล์ เราต้องดาวน์โหลดซอร์สโค้ด ซึ่งคุณสามารถรับได้โดยพิมพ์:
git clone https://github.com/ntop/nDPI.git cd nDPI
และเราดำเนินการรวบรวมเครื่องมือโดยพิมพ์:
./autogen.sh make
หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับการใช้เครื่องมือนี้ คุณสามารถ ตรวจสอบลิงค์ต่อไปนี้