E foi lançado o nDPI 4.6 com suporte a novos protocolos e serviços, e mais. Confira as novidades e veja com instalar no Linux.
nDPI® é uma biblioteca LGPLv3 de código aberto para inspeção profunda de pacotes. Baseado em OpenDPI, inclui extensões ntop.
O nDPI é notável por ser usado tanto pelo ntop quanto pelo nProbe para adicionar detecção de protocolo na camada do aplicativo, independentemente da porta que está sendo usada. Isso significa que é possível detectar protocolos conhecidos em portas não padrão.
O projeto permite determinar os protocolos da camada de aplicação usados no tráfego, analisando a natureza da atividade da rede sem ligação às portas de rede (pode determinar protocolos conhecidos cujos drivers aceitam conexões em portas de rede não padrão, por exemplo, se http não está sendo enviado da porta 80 ou, inversamente, quando tentam disfarçar outra atividade de rede como http em execução na porta 80).
Agora, foi anunciado o lançamento da nova versão do nDPI 4.6, que introduz várias melhorias, bem como suporte para mais protocolos e robustez graças ao código fuzzing introduzido nesta versão.
Novidades do nDPI 4.6
No nDPI 4.6 foi fornecida a capacidade de definir protocolos personalizados usando filtros nBPF (por exemplo: ‘nbpf:’host 192.168.1.1 e porta 80’@HomeRouter’).
A extração de metadados de protocolo foi aprimorada em vários protocolos, assim como a detecção de DGA em nomes de host, entre outras coisas.
O desempenho da análise de tráfego também foi bastante aprimorado, assim como a detecção de código WebShell e PHP em URLs HTTP e a definição de DGA (Domain Generational Algorithm).
A gama de ameaças de rede detectadas e problemas associados ao risco de comprometimento (risco de fluxo) foi expandida.
No nDPI 4.6 foi adicionado suporte para novos tipos de ameaças: NDPI_HTTP_OBSOLETE_SERVER (detecta versões antigas do Apache e nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
Outra novidade que se apresenta no nDPI 4.6 são os testes de fuzzing implementados juntamente com uma verificação melhorada das instruções AES-NI e as melhorias implementadas na serialização de dados em formato JSON.
Por outro lado, destaca-se também que foram adicionadas estatísticas para o cache Patricia, Ahocarasick e LRU, bem como uma lógica de envelhecimento de entrada de cache LRU configurável, suporte para fluxos RTP para os metadados do stream e que o utilitário ndpiReader implementa suporte para o Linux Protocolo Cooked Capture v2.
No nDPI 4.6, por parte das adições de suporte para protocolos e serviços, temos:
- Activision
- Acesso ao servidor AliCloud
- Avast
- CryNetwork
- Qualquer mesa
- Bittorrent (correção de confiança, detecção sobre TCP)
- DNS, adiciona capacidade de decodificar registros DNS PTR usados para resolução de endereço reverso
- DTLS (lidar com fragmentos de certificado)
- Chamadas VoIP do Facebook
- FastCGI (dissecar PARAMS)
- FortiClient (atualizar portas padrão)
- Discórdia
- EDNS
- ElasticSearch
- CGI rápido
- Kismet
- Chamadas Liane App e Line VoIP
- Nuvem Meraki
- muanin
- NATPMP
- subclassificação HTTP
- Verifique se há user-agent vazio/ausente em HTTP
- IRC (verificação de credenciais)
- Jabber / XMPP
- Kerberos (suporte para mensagens Krb-Error)
- LDAP
- MGCP
- MONGODB (evite falsos positivos)
- Syncthing
- Casa Inteligente TP-LINK
- SUA LAN
- SoftEther VPN
- Escala traseira
- TiVoConnect
- SNMP
- SMB (suporte para mensagens divididas em vários segmentos TCP)
- SMTP (suporte para o comando X-ANONYMOUSTLS)
- ATORDOAR
- SKYPE (melhorar a detecção sobre UDP, remover a detecção sobre TCP)
- Teamspeak3 (detecção de licença/weblist)
- Threema Mensageiro
- Zoom
- Adicionar detecção de compartilhamento de tela de zoom
- Adicionada detecção de fluxos ponto a ponto do Zoom no STUN
- Detecção de chamadas Hangout/Duo Voip, busca otimizada na árvore de protocolos
- HTTP
- Manipulação de HTTP-Proxy e HTTP-Connect
- postgres
- POP3
- QUIC (suporte para pacotes 0-RTT recebidos antes do inicial)
- Chamadas Snapchat VoIP
Para saber mais sobre essa versão do nDPI, acesse a nota de lançamento.
Como instalar ou atualizar o nDPI
Para aqueles que estão interessados em poder instalar esta ferramenta em seu sistema, podem fazê-lo seguindo as instruções abaixo.
Para instalar a ferramenta, devemos baixar o código-fonte e compilá-lo, mas antes disso, se você for um usuário Debian, Ubuntu ou derivado, primeiro você deve instalar o seguinte:
sudo apt-get install build-essential git gettext flex bison libtool autoconf automake pkg-config libpcap-dev libjson-c-dev libnuma-dev libpcre2-dev libmaxminddb-dev librrd-dev
Para aqueles que são usuários do Arch Linux:
sudo pacman -S gcc git gettext flex bison libtool autoconf automake pkg-config libpcap json-c numactl pcre2 libmaxminddb rrdtool
Agora, para realizar a compilação, devemos baixar o código-fonte, que você pode obter digitando:
cd nDPI
E continuamos a compilar a ferramenta digitando:
git clone https://github.com/ntop/nDPI.git
cd nDPI