Die ntop-projek, wat nutsmiddels ontwikkel om verkeer vas te vang en te ontleed, het die vrystelling van die nDPI 4.4 dieppakkie-inspeksie-gereedskapstel gepubliseer, wat die ontwikkeling van die OpenDPI-biblioteek voortsit. Die nDPI-projek is gestig na 'n onsuksesvolle poging om veranderinge aan die OpenDPI-bewaarplek deur te voer, wat nie onderhou is nie. Die nDPI-kode is in C geskryf en is onder LGPLv3 gelisensieer.
Die stelsel laat jou toe om die toepassingsvlak-protokolle wat in die verkeer gebruik word te bepaal, deur die aard van netwerkaktiwiteit te ontleed sonder om aan netwerkpoorte gekoppel te wees (dit kan bekende protokolle bepaal waarvan die hanteerders verbindings op nie-standaard netwerkpoorte aanvaar, byvoorbeeld, as http nie vanaf poort 80 gestuur word nie, of omgekeerd, wanneer wat Hulle probeer om ander netwerkaktiwiteit as http te kamoefleer deur dit op poort 80 uit te voer).
Verskille van OpenDPI sluit in ondersteuning vir bykomende protokolle, oordrag na die Windows-platform, werkverrigtingoptimalisering, aanpassing vir gebruik in intydse verkeersmonitering-toepassings (sommige spesifieke kenmerke wat die enjin vertraag het, is verwyder), die vermoë om te bou in die vorm van 'n Linux kernmodule, en ondersteuning vir die definisie van subprotokolle.
In totaal word definisies van ongeveer 300 protokolle en toepassings ondersteun, van OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec tot Telegram, Viber, WhatsApp, PostgreSQL en oproepe na Gmail, Office365, GoogleDocs en YouTube. Daar is 'n bediener- en kliënt-SSL-sertifikaatdekodeerder wat jou toelaat om die protokol (byvoorbeeld Citrix Online en Apple iCloud) met behulp van die enkripsiesertifikaat te bepaal. Die nDPIreader-nutsding word verskaf om die inhoud van pcap-stortings of huidige verkeer via die netwerkkoppelvlak te ontleed.
In die nuwe vrystelling:
- Bygevoeg metadata met inligting oor die rede waarom die hanteerder gebel word vir 'n spesifieke bedreiging.
- Het die ndpi_check_flow_risk_exceptions() funksie bygevoeg om netwerkbedreiginghanteerders te koppel.
- 'n Indeling is gemaak in netwerkprotokolle (byvoorbeeld TLS) en toepassingsprotokolle (byvoorbeeld Google-dienste).
- Het twee nuwe privaatheidsvlakke bygevoeg: NDPI_CONFIDENCE_DPI_PARTIAL en NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Sjabloon bygevoeg om die gebruik van Cloudflare WARP-diens te definieer
- Die interne hashmap-implementering is vervang met uthash.
- Bygewerkte Python-taalbindings.
- By verstek is die ingeboude gcrypt-implementering geaktiveer (die --with-libgcrypt-opsie word verskaf om die stelselimplementering te gebruik).
- Die reeks geïdentifiseerde netwerkbedreigings en probleme wat verband hou met die risiko van kompromie (vloeirisiko) is uitgebrei. Bygevoeg ondersteuning vir nuwe bedreiging tipes: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT en NDPI_ANONYMOUS_SUBSCRIBER.
- Bygevoeg ondersteuning vir protokolle en dienste:
- UltraSurf
- i3D
- oproerspeletjies
- tsan
- TunnelBear Skynprivaatnetwerk
- versamel
- PIM (Protocol Independent Multicast)
- Pragmatiese Algemene Multicast (PGM)
- RSH
- GoTo-produkte soos GoToMeeting
- Dazn
- MPEG-DASH
- Agora-sagteware-gedefinieerde intydse netwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Verbeterde protokolontleding en opsporing:
- SMTP/SMTPS (STARTTLS-ondersteuning bygevoeg)
- OCSP
- TargusDataspoed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin impak
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (bygevoeg ondersteuning vir v2drft 01 spesifikasie)
- SSDP
- SNMP
- DGA
- AES-NI
Bron: opennet.ru