Праект ntop, які развівае прылады для захопу і аналізу трафіку, апублікаваў выпуск інструментара для глыбокага інспектавання пакетаў nDPI 4.0, які працягвае развіццё бібліятэкі OpenDPI. Праект nDPI заснаваны пасля беспаспяховай спробы перадачы змен у рэпазітар OpenDPI, які застаўся без суправаджэння. Код nDPI напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй LGPLv3.
Праект дазваляе вызначаць у трафіку выкарыстоўваныя пратаколы ўзроўня прыкладання, аналізуючы характар сеткавай актыўнасці без прывязкі да сеткавых портаў (можа вызначаць вядомыя пратаколы, апрацоўшчыкі якіх прымаюць злучэнні на нестандартных сеткавых портах, напрыклад, калі http аддаецца не з 80 порта, ці, наадварот, калі якую -то іншую сеткавую актыўнасць спрабуюць закамуфляваць пад http праз запуск на 80 порце).
Адрозненні ад OpenDPI зводзяцца да падтрымкі дадатковых пратаколаў, партаванню для платформы Windows, аптымізацыі прадукцыйнасці, адаптацыі для ўжывання ў прыкладаннях для маніторынгу трафіку ў рэжыме рэальнага часу (прыбраныя некаторыя спецыфічныя магчымасці, якія запавольвалі рухавічок), магчымасці зборкі ў форме модуля ядра Linux і падтрымцы .
Усяго падтрымліваецца вызначэнні 247 пратаколаў і дадаткаў, ад OpenVPN, Tor, QUIC, SOCKS, BitTorrent і IPsec да Telegram, Viber, WhatsApp, PostgreSQL і зваротаў да GMail, Office365 GoogleDocs і YouTube. Маецца дэкадавальнік серверных і кліенцкіх SSL-сертыфікатаў, які дазваляе вызначыць пратакол (напрыклад, Citrix Online і Apple iCloud), выкарыстаючы сертыфікат шыфравання. Для аналізу змесціва pcap-дампаў ці бягучага трафіку праз сеткавы інтэрфейс пастаўляецца ўтыліта nDPIreader.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" Detected protocols: DNS пакеты: 57 байт: 7904 flows: 28 SSL_No_Cert packets: 483 bytes: 229203 : 6 DropBox packets: 136 bytes: 74702 flows: 4 Skype packets: 9 bytes: 668 flows: 3 Google packets: 5 bytes: 339 flows: 3
У новым выпуску:
- Палепшана падтрымка метадаў аналізу шыфраванага трафіку (ETA - Encrypted Traffic Analysis).
- Рэалізаваная падтрымка палепшанага метаду ідэнтыфікацыі TLS-кліентаў JA3+, які дазваляе на аснове асаблівасцяў узгаднення злучэнняў і задаваных параметраў вызначаць якое ПА выкарыстоўваецца для ўсталёўкі злучэння (напрыклад, дазваляе вызначыць выкарыстанне Tor і іншых тыпавых прыкладанняў). У адрозненне ад раней падтрымоўванага метаду JA3, JA3+ адрозніваецца малодшым лікам ілжывых спрацоўванняў.
- Колькасць выяўляных сеткавых пагроз і праблем, злучаных з рызыкай кампраметацыі (flow risk), пашырана да 33. Дададзеныя новыя вызначальнікі пагроз, злучаных з падаваннем сумеснага доступу да працоўнага стала і файлам, падазроным HTTP-трафікам, шкоднаснымі JA3 і SHA1, зваротам да праблемных даменаў. і аўтаномным сістэмам, выкарыстаннем у TLS сертыфікатаў з падазронымі пашырэннямі або занадта доўгім тэрмінам дзеяння.
- Праведзена значная аптымізацыя прадукцыйнасці, у параўнанні з галінкай 3.0 хуткасць апрацоўкі трафіку ўзрасла ў 2.5 разы.
- Дададзена падтрымка GeoIP для вызначэння месцазнаходжання па IP-адрасу.
- Дададзены API для вылічэння RSI (Relative Strenght Index).
- Рэалізаваны сродкі кіравання фрагментацыяй.
- Дададзены API для разліку аднастайнасці патоку (jitter).
- Дададзена падтрымка пратаколаў і сэрвісаў: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, , Siri), Z39.50.
- Палепшаны разбор і вызначэнне пратаколаў AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla Speedtest, Openspeedtest.com, Outlook / Microsoft , RTSP праз HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Крыніца: opennet.ru