Die ntop-projek, wat nutsmiddels ontwikkel om verkeer vas te vang en te ontleed, het die vrystelling van die nDPI 4.4 dieppakkie-inspeksie-gereedskapstel gepubliseer, wat die ontwikkeling van die OpenDPI-biblioteek voortsit. Die nDPI-projek is gestig na 'n onsuksesvolle poging om veranderinge aan die OpenDPI-bewaarplek deur te voer, wat nie onderhou is nie. Die nDPI-kode is in C geskryf en is onder LGPLv3 gelisensieer.
Die stelsel laat jou toe om die toepassingsvlak-protokolle wat in die verkeer gebruik word te bepaal, deur die aard van netwerkaktiwiteit te ontleed sonder om aan netwerkpoorte gekoppel te wees (dit kan bekende protokolle bepaal waarvan die hanteerders verbindings op nie-standaard netwerkpoorte aanvaar, byvoorbeeld, as http nie vanaf poort 80 gestuur word nie, of omgekeerd, wanneer wat Hulle probeer om ander netwerkaktiwiteit as http te kamoefleer deur dit op poort 80 uit te voer).
Verskille van OpenDPI kom neer op ondersteuning vir bykomende protokolle en portering na die platform. Windows, prestasie-optimalisering, aanpassing vir gebruik in intydse verkeersmoniteringstoepassings (verwydering van spesifieke kenmerke wat die enjin vertraag het), en die vermoë om as 'n kernmodule te bou Linux en ondersteuning vir die definisie van subprotokolle.
In totaal word definisies van ongeveer 300 protokolle en toepassings ondersteun, van OpenVPN, Tor, QUIC, SOCKS, BitTorrent, en IPsec na Telegram, Viber, WhatsApp, PostgreSQL, en toegang tot GMail, Office365, GoogleDocs, en YouTube. 'n Bediener- en kliëntdekodeerder is beskikbaar. SSL-sertifikate, wat jou toelaat om 'n protokol (byvoorbeeld Citrix Online en Apple iCloud) te identifiseer deur 'n enkripsiesertifikaat te gebruik. Die nDPIreader-hulpprogram word verskaf vir die ontleding van die inhoud van pcap-dumps of huidige netwerkkoppelvlakverkeer.
In die nuwe vrystelling:
- Bygevoeg metadata met inligting oor die rede waarom die hanteerder gebel word vir 'n spesifieke bedreiging.
- Het die ndpi_check_flow_risk_exceptions() funksie bygevoeg om netwerkbedreiginghanteerders te koppel.
- 'n Indeling is gemaak in netwerkprotokolle (byvoorbeeld TLS) en toepassingsprotokolle (byvoorbeeld Google-dienste).
- Het twee nuwe privaatheidsvlakke bygevoeg: NDPI_CONFIDENCE_DPI_PARTIAL en NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Sjabloon bygevoeg om die gebruik van Cloudflare WARP-diens te definieer
- Die interne hashmap-implementering is vervang met uthash.
- Bygewerkte Python-taalbindings.
- By verstek is die ingeboude gcrypt-implementering geaktiveer (die --with-libgcrypt-opsie word verskaf om die stelselimplementering te gebruik).
- Die reeks geïdentifiseerde netwerkbedreigings en probleme wat verband hou met die risiko van kompromie (vloeirisiko) is uitgebrei. Bygevoeg ondersteuning vir nuwe bedreiging tipes: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT en NDPI_ANONYMOUS_SUBSCRIBER.
- Bygevoeg ondersteuning vir protokolle en dienste:
- UltraSurf
- i3D
- oproerspeletjies
- tsan
- TunnelBear Skynprivaatnetwerk
- versamel
- PIM (Protocol Independent Multicast)
- Pragmatiese Algemene Multicast (PGM)
- RSH
- GoTo-produkte soos GoToMeeting
- Dazn
- MPEG-DASH
- Agora-sagteware-gedefinieerde intydse netwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Verbeterde protokolontleding en opsporing:
- SMTP/SMTPS (STARTTLS-ondersteuning bygevoeg)
- OCSP
- TargusDataspoed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin impak
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (bygevoeg ondersteuning vir v2drft 01 spesifikasie)
- SSDP
- SNMP
- DGA
- AES-NI
Bron: opennet.ru
