Ang nDPI® ay isang open source na library ng LGPLv3 para sa malalim na inspeksyon ng packet. Batay sa OpenDPI, kasama ang mga ntop na extension.
Ang paglabas ng bagong bersyon ng nDPI 4.6 na nagpapakilala ng ilang pagpapahusay, pati na rin ang suporta para sa higit pang mga protocol at katatagan salamat sa fuzzing code na ipinakilala sa bersyong ito. Ang pagkuha ng metadata ng protocol ay napabuti sa ilang mga protocol, tulad ng pagtukoy ng DGA sa mga hostname, bukod sa iba pang mga bagay.
nDPI Ito ay nailalarawan sa pamamagitan ng paggamit ng parehong ntop at nProbe upang magdagdag ng detection ng protokol sa layer ng application, hindi alintana ang ginagamit na port. Nangangahulugan ito na ang mga kilalang protokol ay maaaring makita sa mga di-pamantayang mga port.
Ang proyekto ay nagbibigay-daan sa iyo upang matukoy ang mga application sa antas ng application na ginamit sa trapiko sa pamamagitan ng pag-aaral ng likas na katangian ng aktibidad ng network nang hindi nagbubuklod sa mga port ng network (maaari mong matukoy ang mga kilalang mga protokol na ang mga driver ay tumatanggap ng mga koneksyon sa mga hindi karaniwang mga port ng network, halimbawa kung ang http ay ipinadala hindi mula sa port 80, o, sa kabaligtaran, kapag sinubukan nilang magbalatkayo sa iba pa aktibidad sa network tulad ng http na tumatakbo sa port 80).
Pangunahing mga bagong tampok ng nDPI 4.6
Sa bagong release ng nDPI 4.6, nagbigay ng kakayahang tumukoy ng mga custom na protocol gamit ang mga nBPF filter (halimbawa: 'nbpf:»host 192.168.1.1 at port 80″@HomeRouter').
Gayundin ang pagganap ng pagsusuri sa trapiko ay lubos na napabuti, pati na rin ang pagtuklas ng WebShell at PHP code sa mga HTTP URL at ang kahulugan ng DGA (Domain Generational Algorithm).
Ang hanay ng mga nakitang pagbabanta at isyu sa network ay pinalawak na nauugnay sa panganib sa pangako (panganib sa daloy). Nagdagdag ng suporta para sa mga bagong uri ng pagbabanta: NDPI_HTTP_OBSOLETE_SERVER (tumutukoy sa mga lumang bersyon ng Apache at nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Ang isa pang bagong bagay na ipinakita sa bagong bersyon na ito ay ang fuzzing mga pagsubok na ipinatupad kasama ng pinahusay na pagsusuri sa mga tagubilin ng AES-NI at mga pagpapahusay na ginawa sa serialization ng data sa JSON na format.
Sa kabilang banda, naka-highlight din iyon nagdagdag ng mga istatistika para sa Patricia, Ahocarasick at LRU cache, pati na rin ang nako-configure na LRU cache entry aging logic, suporta para sa mga RTP stream para mag-stream ng metadata, at ang ndpiReader utility ay nagpapatupad ng suporta para sa Linux Cooked Capture v2 protocol.
Sa bahagi ng mga pagdaragdag ng suporta para sa mga protocol at serbisyo:
- Activision
- Access sa server ng AliCloud
- AVAST
- CryNetwork
- Anydesk
- Bittorrent (ayusin ang kumpiyansa, pagtuklas sa TCP)
- DNS, magdagdag ng kakayahang mag-decode ng mga tala ng DNS PTR na ginagamit para sa reverse address resolution
- DTLS (pangasiwaan ang mga fragment ng sertipiko)
- Mga tawag sa Facebook VoIP
- FastCGI (dissect PARAMS)
- FortiClient (i-update ang mga default na port)
- Hindi magkasundo
- edns
- Elasticsearch
- MabilisCGI
- Palad
- Liane App at Line VoIP na mga tawag
- Meraki Cloud
- muanin
- NATPMP
- HTTP subclassification
- Tingnan kung walang laman/nawawalang user-agent sa HTTP
- IRC (pagsusuri ng kredensyal)
- Jabber / XMPP
- Kerberos (suporta para sa Krb-Error messages)
- LDAP
- MGCP
- MONGODB (iwasan ang mga maling positibo)
- Syncthing
- TP-LINK Smart Home
- IYONG LAN
- SoftEtherVPN
- tailscale
- TiVoConnect
- SNMP
- SMB (suporta para sa mga mensaheng hinati sa maraming TCP segment)
- SMTP (suporta para sa X-ANONYMOUSTLS command)
- STUN
- SKYPE (pahusayin ang pagtuklas sa UDP, alisin ang pagtuklas sa TCP)
- Teamspeak3 (Pagtukoy ng Lisensya/Weblist)
- Threema Messenger
- Mag-zoom
- Magdagdag ng Zoom screen share detection
- Magdagdag ng detection ng Zoom peer-to-peer na mga daloy sa STUN
- Pag-detect ng mga tawag sa Hangout/Duo Voip, i-optimize ang mga paghahanap sa protocol tree
- HTTP
- Pangangasiwa ng HTTP-Proxy at HTTP-Connect
- Mga postgres
- POP3
- QUIC (suporta para sa 0-RTT packet na natanggap bago ang inisyal)
- Mga tawag sa Snapchat VoIP
Sa wakas kung interesado kang malaman ang tungkol dito Tungkol sa bagong bersyon na ito, maaari mong suriin ang mga detalye sa sumusunod na link.
Paano mag-install ng nDPI sa Linux?
Para sa mga interesadong ma-install ang tool na ito sa kanilang system, magagawa nila ito sa pamamagitan ng pagsunod sa mga tagubiling ibinabahagi namin sa ibaba.
Upang mai-install ang tool, dapat nating i-download ang source code at i-compile ito, ngunit bago iyon kung sila ay Mga gumagamit ng Debian, Ubuntu o derivative Sa mga ito, kailangan muna nating i-install ang sumusunod:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Sa kaso ng mga iyon Mga gumagamit ng Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Ngayon, upang mag-compile, dapat naming i-download ang source code, na maaari mong makuha sa pamamagitan ng pag-type:
git clone https://github.com/ntop/nDPI.git cd nDPI
At nagpapatuloy kami sa pag-compile ng tool sa pamamagitan ng pag-type:
./autogen.sh make
Kung interesado kang malaman ang higit pa tungkol sa paggamit ng tool, magagawa mo suriin ang sumusunod na link.