nDPI 4.6 xuất hiện với sự hỗ trợ cho các giao thức, dịch vụ mới và hơn thế nữa

Darkcrizt

4 phút

nDPI

nDPI® là thư viện LGPLv3 nguồn mở để kiểm tra gói sâu. Dựa trên OpenDPI, bao gồm các phần mở rộng ntop.

Các phát hành phiên bản mới của nDPI 4.6 giới thiệu một số cải tiến, cũng như hỗ trợ nhiều giao thức hơn và độ mạnh mẽ nhờ vào mã làm mờ được giới thiệu trong phiên bản này. Khai thác siêu dữ liệu giao thức đã được cải thiện trên một số giao thức, cũng như phát hiện DGA trong tên máy chủ, trong số những thứ khác.

nDPI Nó có đặc điểm là được sử dụng bởi cả ntop và nProbe để thêm tính năng phát hiện các giao thức ở lớp ứng dụng, bất kể cổng đang được sử dụng. Điều này có nghĩa là các giao thức đã biết có thể được phát hiện trên các cổng không chuẩn.

Dự án cho phép bạn xác định các giao thức cấp ứng dụng được sử dụng trong lưu lượng bằng cách phân tích bản chất của hoạt động mạng mà không ràng buộc với các cổng mạng (bạn có thể xác định các giao thức đã biết có trình điều khiển chấp nhận kết nối trên các cổng mạng không chuẩn, ví dụ: nếu http được gửi không phải từ cổng 80, hoặc ngược lại, khi chúng cố gắng ngụy trang hoạt động mạng chẳng hạn như http chạy trên cổng 80).

Các tính năng mới chính của nDPI 4.6

Trong phiên bản mới của nDPI 4.6, cung cấp khả năng xác định các giao thức tùy chỉnh bằng bộ lọc nBPF (ví dụ: 'nbpf:»máy chủ 192.168.1.1 và cổng 80″@HomeRouter').

Ngoài ra hiệu suất phân tích lưu lượng đã được cải thiện rất nhiều, cũng như phát hiện mã WebShell và PHP trong URL HTTP và định nghĩa về DGA (Thuật toán tạo miền).

Phạm vi của các mối đe dọa và sự cố mạng được phát hiện đã được mở rộng gắn liền với rủi ro cam kết (rủi ro dòng chảy). Đã thêm hỗ trợ cho các loại mối đe dọa mới: NDPI_HTTP_OBSOLETE_SERVER (phát hiện các phiên bản cũ của Apache và nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.

Một điểm mới lạ khác được trình bày trong phiên bản mới này là thử nghiệm fuzzing thực hiện cùng với việc kiểm tra cải tiến các hướng dẫn AES-NI và các cải tiến được thực hiện đối với tuần tự hóa dữ liệu ở định dạng JSON.

Mặt khác, nó cũng được nhấn mạnh rằng đã thêm số liệu thống kê cho bộ đệm Patricia, Ahocarasick và LRU, cũng như logic lão hóa mục nhập bộ đệm LRU có thể định cấu hình, hỗ trợ các luồng RTP để truyền siêu dữ liệu và tiện ích ndpiReader triển khai hỗ trợ cho giao thức Linux Cooked Capture v2.

Về phần bổ sung hỗ trợ cho các giao thức và dịch vụ:

  • Activision
  • Truy cập máy chủ AliCloud
  • Avast
  • KhócMạng
  • Anydesk
  • Bittorrent (sửa chữa độ tin cậy, phát hiện qua TCP)
  • DNS, thêm khả năng giải mã các bản ghi PTR DNS được sử dụng để phân giải địa chỉ ngược
  • DTLS (xử lý các mảnh chứng chỉ)
  • Cuộc gọi VoIP trên Facebook
  • FastCGI (phân tích PARAMS)
  • FortiClient (cập nhật cổng mặc định)
  • Discord
  • edns
  • Elasticsearch
  • NhanhCGI
  • Số mạng
  • Các cuộc gọi VoIP Line và Ứng dụng Liane
  • Đám mây Meraki
  • muanin
  • NATPMP
  • phân loại con HTTP
  • Kiểm tra tác nhân người dùng trống/thiếu trong HTTP
  • IRC (kiểm tra thông tin xác thực)
  • Jabber / XMPP
  • Kerberos (hỗ trợ thông báo Krb-Error)
  • LDAP
  • MGCP
  • MONGODB (tránh dương tính giả)
  • Hợp nhất
  • Nhà thông minh TP-LINK
  • LAN CỦA BẠN
  • SoftEtherVPN
  • cấp độ đuôi
  • TiVoConnect
  • SNMP
  • SMB (hỗ trợ cho các tin nhắn được chia thành nhiều phân đoạn TCP)
  • SMTP (hỗ trợ lệnh X-ANONYMOUSTLS)
  • CHOÁNG
  • SKYPE (cải thiện khả năng phát hiện qua UDP, loại bỏ khả năng phát hiện qua TCP)
  • Teamspeak3 (Phát hiện giấy phép/Danh sách web)
  • Sứ Giả Tam Ma
  • Zoom
  • Thêm vào Phát hiện chia sẻ màn hình thu phóng
  • Thêm phát hiện các luồng Zoom ngang hàng trong STUN
  • Phát hiện cuộc gọi Hangout/Duo Voip, tối ưu hóa tra cứu trong cây giao thức
  • HTTP
  • Xử lý HTTP-Proxy và HTTP-Connect
  • Bưu điện
  • POP3
  • QUIC (hỗ trợ các gói 0-RTT nhận được trước gói ban đầu)
  • Cuộc gọi VoIP Snapchat

Cuối cùng nếu bạn muốn biết thêm về nó Về phiên bản mới này, bạn có thể kiểm tra chi tiết trong liên kết theo dõi.

Làm thế nào để cài đặt nDPI trên Linux?

Đối với những ai quan tâm đến việc có thể cài đặt công cụ này trên hệ thống của mình thì có thể thực hiện theo hướng dẫn mà chúng tôi chia sẻ dưới đây.

Để cài đặt công cụ, chúng ta phải tải xuống mã nguồn và biên dịch nó, nhưng trước đó nếu họ Người dùng Debian, Ubuntu hoặc phái sinh Trong số này, trước tiên chúng ta phải cài đặt những thứ sau:

sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev

Trong trường hợp của những Người dùng Arch Linux:

sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool

Bây giờ, để biên dịch, chúng ta phải tải xuống mã nguồn mà bạn có thể lấy bằng cách nhập:

git clone https://github.com/ntop/nDPI.git

cd nDPI

Và chúng tôi tiến hành biên dịch công cụ bằng cách gõ:

./autogen.sh
make

Nếu bạn muốn biết thêm về việc sử dụng công cụ này, bạn có thể kiểm tra liên kết sau.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.