nDPI® — це бібліотека LGPLv3 з відкритим кодом для глибокої перевірки пакетів. На основі OpenDPI, включає розширення ntop.
The випуск нової версії nDPI 4.6 який представляє кілька покращень, а також підтримку більшої кількості протоколів і надійність завдяки коду фаззингу, представленому в цій версії. Вилучення метаданих протоколу було вдосконалено в кількох протоколах, як, серед іншого, виявлення DGA в іменах хостів.
nDPI Він характеризується тим, що використовується як ntop, так і nProbe для додавання виявлення протоколів на рівні додатків, незалежно від використовуваного порту. Це означає, що можна виявити відомі протоколи на нестандартних портах.
Проект дозволяє визначити протоколи рівня програми, що використовуються в трафіку шляхом аналізу природи мережевої активності без прив’язки до мережевих портів (можна визначити відомі протоколи, драйвери яких приймають з'єднання на нестандартних мережевих портах, наприклад, якщо http надсилається не з порту 80, або навпаки, коли вони намагаються замаскувати інші мережеві дії, такі як http, що працює на порту 80).
Основні нові можливості nDPI 4.6
У новому випуску nDPI 4.6 надається можливість визначати власні протоколи за допомогою фільтрів nBPF (наприклад: 'nbpf:»хост 192.168.1.1 і порт 80″@HomeRouter').
Тамбієн продуктивність аналізу трафіку була значно покращена, а також виявлення коду WebShell і PHP в URL-адресах HTTP та визначення DGA (алгоритм створення домену).
Розширено спектр виявлених мережевих загроз і проблем пов'язаний з ризиком зобов'язань (ризик потоку). Додано підтримку нових типів загроз: NDPI_HTTP_OBSOLETE_SERVER (виявляє старі версії Apache і nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Ще однією новинкою, представленою в цій новій версії, є реалізовані тести фаззингу разом із покращеною перевіркою інструкцій AES-NI та вдосконаленнями серіалізації даних у форматі JSON.
З іншого боку, також підкреслюється, що додано статистику для Patricia, Ahocarasick і LRU кешу, а також настроювану логіку старіння запису кешу LRU, підтримку потоків RTP для потокової передачі метаданих, а також те, що утиліта ndpiReader реалізує підтримку протоколу Linux Cooked Capture v2.
З боку підтримки доповнень для протоколів і сервісів:
- Activision
- Доступ до сервера AliCloud
- Стій
- CryNetwork
- Будь-який стіл
- Bittorrent (виправлення впевненості, виявлення через TCP)
- DNS, додайте можливість декодувати записи DNS PTR, які використовуються для зворотного вирішення адрес
- DTLS (обробка фрагментів сертифіката)
- VoIP -дзвінки Facebook
- FastCGI (розбір ПАРАМЕТРІВ)
- FortiClient (оновлення портів за замовчуванням)
- Discord
- edns
- Elasticsearch
- FastCGI
- Доля
- Liane App і Line VoIP-дзвінки
- Хмара Меракі
- муанін
- NATPMP
- Підкласифікація HTTP
- Перевірте порожній/відсутній агент користувача в HTTP
- IRC (перевірка облікових даних)
- Jabber / XMPP
- Kerberos (підтримка повідомлень Krb-Error)
- LDAP
- MGCP
- MONGODB (уникайте помилкових спрацьовувань)
- Синхронізація
- Розумний будинок TP-LINK
- ВАША ЛОМ
- SoftEtherVPN
- Хвостова шкала
- TiVoConnect
- SNMP
- SMB (підтримка повідомлень, розділених на кілька сегментів TCP)
- SMTP (підтримка команди X-ANONYMOUSTLS)
- ЗАГРУЗИТИ
- SKYPE (покращує виявлення через UDP, видаляє виявлення через TCP)
- Teamspeak3 (виявлення ліцензії/веб-списку)
- Месенджер Threema
- Zoom
- Додати виявлення масштабування екрана
- Додайте виявлення однорангових потоків Zoom у STUN
- Виявлення викликів Hangout/Duo Voip, оптимізація пошуку в дереві протоколів
- HTTP
- Обробка HTTP-Proxy і HTTP-Connect
- Постгрес
- POP3
- QUIC (підтримка пакетів 0-RTT, отриманих до початкового)
- Дзвінки Snapchat VoIP
В кінці кінців якщо вам цікаво дізнатись більше про це Про цю нову версію ви можете ознайомитись із деталями в наступне посилання.
Як встановити nDPI на Linux?
Для тих, хто зацікавлений у можливості встановити цей інструмент у своїй системі, вони можуть зробити це, дотримуючись інструкцій, наведених нижче.
Щоб встановити інструмент, ми повинні завантажити вихідний код і скомпілювати його, але до того, якщо вони є Користувачі Debian, Ubuntu або похідні З них спочатку потрібно встановити наступне:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
У випадку з тими, що є Користувачі Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Тепер, щоб компілювати, ми повинні завантажити вихідний код, який ви можете отримати, ввівши:
git clone https://github.com/ntop/nDPI.git cd nDPI
І ми переходимо до компіляції інструменту, ввівши:
./autogen.sh make
Якщо вам цікаво дізнатися більше про використання інструменту, ви можете перевірте наступне посилання.