L розробники проектів ntop (які розробляють інструменти для фіксації та аналізу трафіку) оголошено нещодавно звільнений нова версія nDPI 4.4, що є надмножиною поточного обслуговування популярної бібліотеки OpenDP.
nDPI Він характеризується тим, що використовується як ntop, так і nProbe для додавання виявлення протоколів на рівні додатків, незалежно від використовуваного порту. Це означає, що можна виявити відомі протоколи на нестандартних портах.
Проект дозволяє визначити протоколи рівня програми, що використовуються в трафіку шляхом аналізу природи мережевої активності без прив’язки до мережевих портів (можна визначити відомі протоколи, драйвери яких приймають з'єднання на нестандартних мережевих портах, наприклад, якщо http надсилається не з порту 80, або навпаки, коли вони намагаються замаскувати інші мережеві дії, такі як http, що працює на порту 80).
Відмінності з OpenDPI зводяться до підтримки додаткових протоколів, портативність для платформи Windows, оптимізація продуктивності, адаптація для використання в додатках для моніторингу трафіку в режимі реального часу (деякі специфічні функції, які сповільнювали роботу двигуна, були видалені), можливості створення у вигляді модуля ядра Linux та підтримка визначення під -протоколи.
Основні нові можливості nDPI 4.4
У цій новій версії, яка представлена підкреслюється, що метадані були додані з інформацією про причину виклику контролера для конкретної загрози.
Ще одна важлива зміна вбудована реалізація gcrypt, яка ввімкнена за замовчуваннямa (опція --with-libgcrypt пропонується використовувати системну реалізацію).
На додаток до цього також наголошується, що розширено спектр виявлених мережевих загроз і пов'язаних з ними проблем з ризиком компрометації (ризик потоку), а також додано підтримку нових типів загроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT і NDPI_ANONYMOUS_SUBSCRIBER.
Додано функція ndpi_check_flow_risk_exceptions() для ввімкнення обробників мережевих загроз, а також додано два нових рівні конфіденційності: NDPI_CONFIDENCE_DPI_PARTIAL і NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
Також підкреслюється, що оновлені зв’язки для мови python, внутрішню реалізацію hashmap замінено на uthash, а також поділ на мережеві протоколи (наприклад, TLS) і протоколи додатків (наприклад, сервіси Google), а також шаблон для визначення використання додано службу WARP Cloudflare.
З іншого боку, також зазначається, що додано виявлення протоколу для:
- UltraSurf
- i3D
- riotgames
- ЦАН
- TunnelBear VPN
- зібрано
- PIM (незалежна від протоколу групова розсилка)
- Pragmatic General Multicast (PGM)
- RSH
- Продукти GoTo (переважно GoToMeeting)
- Дазн
- MPEG-DASH
- Програмно визначена мережа реального часу Agora (SD-RTN)
- Тока Бока
- VXLAN
- DMNS/LLMNR
З інших змін які виділяються для цієї нової версії:
- Виправлення для деяких сімейств класифікації протоколів.
- Виправлено порти протоколу за замовчуванням для протоколів електронної пошти
- Різні виправлення пам'яті та переповнення
- Різні ризики вимкнено для певних протоколів (наприклад, вимкніть відсутній ALPN для CiscoVPN)
- Виправити декапсуляцію TZSP
- Оновіть списки ASN/IP
- Покращене профілювання коду
- Використовуйте Doxygen для створення документації API
- Додано CDN Edgecast і Cachefly.
В кінці кінців якщо вам цікаво дізнатись більше про це Про цю нову версію ви можете ознайомитись із деталями в наступне посилання.
Як встановити nDPI на Linux?
Для тих, хто зацікавлений у можливості встановити цей інструмент у своїй системі, вони можуть зробити це, дотримуючись інструкцій, наведених нижче.
Щоб встановити інструмент, ми повинні завантажити вихідний код і скомпілювати його, але до того, якщо вони є Користувачі Debian, Ubuntu або похідні З них спочатку потрібно встановити наступне:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
У випадку з тими, що є Користувачі Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Тепер, щоб компілювати, ми повинні завантажити вихідний код, який ви можете отримати, ввівши:
git clone https://github.com/ntop/nDPI.git cd nDPI
І ми переходимо до компіляції інструменту, ввівши:
./autogen.sh make
Якщо вам цікаво дізнатися більше про використання інструменту, ви можете перевірте наступне посилання.