MGI ntop项目开发人员 (开发工具来捕获和分析流量) 揭晓 最近发布 新版nDPI 4.4,这是流行的 OpenDP 库的持续维护超集。
DPI 特点是被ntop和nProbe都使用来增加协议的检测 在应用层,不管使用的是什么端口。 这意味着可以检测非标准端口上的已知协议。
萨尔瓦多PROYECTO 允许您确定流量中使用的应用程序级协议 通过分析网络活动的性质而不绑定到网络端口(您可以确定其驱动程序接受非标准网络端口上的连接的已知协议,例如,如果 http 不是从端口 80 发送的,或者相反,当它们试图伪装其他网络活动,例如在端口 80 上运行的 http)。
与 OpenDPI 的差异归结为对附加协议的支持、Windows 平台的可移植性、性能优化、适用于应用程序以实时监控流量(一些降低引擎速度的特定功能已被删除)、以 Linux 内核模块的形式构建功能并支持定义子- 协议。
nDPI 4.4 的主要新特性
在这个新版本中 突出显示元数据已添加有关调用控制器原因的信息 针对特定威胁。
另一个重要的变化是 gcrypt 的内置实现,默认启用a(建议使用 --with-libgcrypt 选项来使用系统实现)。
除此之外,还要强调的是 检测到的网络威胁和相关问题的范围已扩大 具有妥协的风险(流动风险),还增加了对新型威胁的支持:NDPI_PUNYCODE_IDN、NDPI_ERROR_CODE_DETECTED、NDPI_HTTP_CRAWLER_BOT 和 NDPI_ANONYMOUS_SUBSCRIBER。
添加 ndpi_check_flow_risk_exceptions() 函数启用网络威胁处理程序,以及添加了两个新的隐私级别:NDPI_CONFIDENCE_DPI_PARTIAL 和 NDPI_CONFIDENCE_DPI_PARTIAL_CACHE。
还强调了 更新了 python 语言的绑定,hashmap的内部实现已经被uthash替换,以及划分为网络协议(例如,TLS)和应用程序协议(例如,谷歌服务)和定义使用的模板已经添加了Cloudflare的WARP服务。
另一方面,也注意到 添加了协议检测:
- 无界浏览
- i3D
- 防暴游戏
- 赞
- TunnelBear VPN
- 收藏
- PIM(协议独立组播)
- 实用通用组播 (PGM)
- RSH
- GoTo 产品(主要是 GoToMeeting)
- Dazn
- MPEG-DASH
- Agora 软件定义的实时网络 (SD-RTN)
- 托卡博卡
- VXLAN
- DMNS/LLMNR
其他变化 在这个新版本中脱颖而出:
- 修复了一些协议分类系列。
- 修复了电子邮件协议的默认协议端口
- 各种内存和溢出修复
- 针对特定协议禁用的各种风险(例如,禁用 CiscoVPN 的缺失 ALPN)
- 修复 TZSP 解封装
- 更新 ASN/IP 列表
- 改进的代码分析
- 使用 Doxygen 生成 API 文档
- 添加了 Edgecast 和 Cachefly CDN。
最后 如果您有兴趣了解更多有关它的信息 关于这个新版本,你可以在 以下链接。
如何在 Linux 上安装 nDPI?
对于那些有兴趣在他们的系统上安装此工具的人,他们可以按照我们在下面分享的说明进行操作。
为了安装该工具, 我们必须下载源代码并编译它,但在此之前,如果他们是 Debian、Ubuntu 或衍生用户 其中,我们必须首先安装以下内容:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
在那些情况下 Arch Linux 用户:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
现在,为了编译,我们必须下载源代码,您可以通过键入以下内容获得:
git clone https://github.com/ntop/nDPI.git cd nDPI
我们继续通过键入以下内容来编译该工具:
./autogen.sh make
如果您有兴趣了解更多关于该工具的使用方法,您可以 检查以下链接。