很多 ntop項目開發人員 (開發工具來捕獲和分析流量) 揭曉 最近發布 新版nDPI 4.4,這是流行的 OpenDP 庫的持續維護超集。
DPI 它的特點是被ntop和nProbe都使用來增加協議的檢測 在應用層,不管使用的是什麼端口。 這意味著可以在非標準端口上檢測到已知協議。
該項目 允許您確定流量中使用的應用程序級協議 通過分析網絡活動的性質而不綁定到網絡端口(您可以確定其驅動程序接受非標準網絡端口連接的已知協議,例如,如果 http 不是從端口 80 發送的,或者相反,當它們試圖偽裝其他網絡活動,例如在端口 80 上運行的 http)。
與 OpenDPI 的差異歸結為對附加協議的支持、Windows 平台的可移植性、性能優化、適用於應用程序以實時監控流量(一些降低引擎速度的特定功能已被刪除)、以 Linux 內核模塊的形式構建功能並支持定義子- 協議。
nDPI 4.4 的主要新特性
在這個新版本中 請注意,添加了元數據,其中包含有關調用控制器原因的信息 針對特定威脅。
另一個重要的變化是 gcrypt 的內置實現,默認啟用a(建議使用 --with-libgcrypt 選項來使用系統實現)。
除此之外,還要強調的是 檢測到的網絡威脅和相關問題的範圍已擴大 具有妥協的風險(流動風險),還增加了對新型威脅的支持:NDPI_PUNYCODE_IDN、NDPI_ERROR_CODE_DETECTED、NDPI_HTTP_CRAWLER_BOT 和 NDPI_ANONYMOUS_SUBSCRIBER。
添加 ndpi_check_flow_risk_exceptions() 函數啟用網絡威脅處理程序,以及添加了兩個新的隱私級別:NDPI_CONFIDENCE_DPI_PARTIAL 和 NDPI_CONFIDENCE_DPI_PARTIAL_CACHE。
還強調了 更新了 python 語言的綁定,hashmap的內部實現已經被uthash替換,以及劃分為網絡協議(例如,TLS)和應用程序協議(例如,谷歌服務)和定義使用的模板已經添加了Cloudflare的WARP服務。
另一方面,也注意到 添加了協議檢測:
- 無界瀏覽
- i3D
- 防暴遊戲
- 贊
- TunnelBear VPN
- 收藏
- PIM(協議獨立組播)
- 實用通用組播 (PGM)
- RSH
- GoTo 產品(主要是 GoToMeeting)
- 達贊
- MPEG-DASH
- Agora 軟件定義的實時網絡 (SD-RTN)
- Toca Boca
- 虛擬局域網
- DMNS/LLMNR
其他變化 在這個新版本中脫穎而出:
- 修復了一些協議分類系列。
- 修復了電子郵件協議的默認協議端口
- 各種內存和溢出修復
- 針對特定協議禁用的各種風險(例如,禁用 CiscoVPN 的缺失 ALPN)
- 修復 TZSP 解封裝
- 更新 ASN/IP 列表
- 改進的代碼分析
- 使用 Doxygen 生成 API 文檔
- 添加了 Edgecast 和 Cachefly CDN。
終於 如果您有興趣了解更多信息 關於這個新版本,你可以在 以下鏈接。
如何在 Linux 上安裝 nDPI?
對於那些有興趣在他們的系統上安裝此工具的人,他們可以按照我們在下面分享的說明進行操作。
為了安裝該工具, 我們必須下載源代碼並編譯它,但在此之前,如果他們是 Debian、Ubuntu 或衍生用戶 其中,我們必須首先安裝以下內容:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
在那些情況下 Arch Linux 用戶:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
現在,為了編譯,我們必須下載源代碼,您可以通過鍵入以下內容獲得:
git clone https://github.com/ntop/nDPI.git cd nDPI
我們繼續通過鍵入以下內容來編譯該工具:
./autogen.sh make
如果您有興趣了解更多關於該工具的使用方法,您可以 檢查以下鏈接。