Праект ntop, які развівае прылады для захопу і аналізу трафіку, апублікаваў выпуск інструментара для глыбокага інспектавання пакетаў nDPI 4.4, які працягвае развіццё бібліятэкі OpenDPI. Праект nDPI заснаваны пасля беспаспяховай спробы перадачы змен у рэпазітар OpenDPI, які застаўся без суправаджэння. Код nDPI напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй LGPLv3.
Сістэма дазваляе вызначаць у трафіку выкарыстоўваныя пратаколы ўзроўня прыкладання, аналізуючы характар сеткавай актыўнасці без прывязкі да сеткавых партоў (можа вызначаць вядомыя пратаколы, апрацоўшчыкі якіх прымаюць злучэнні на нестандартных сеткавых партах, напрыклад, калі http аддаецца не з 80 порта, ці, наадварот, калі якую -то іншую сеткавую актыўнасць спрабуюць закамуфляваць пад http праз запуск на 80 порце).
Адрозненні ад OpenDPI зводзяцца да падтрымкі дадатковых пратаколаў, партаванню для платформы Windows, аптымізацыі прадукцыйнасці, адаптацыі для ўжывання ў прыкладаннях для маніторынгу трафіку ў рэжыме рэальнага часу (прыбраныя некаторыя спецыфічныя магчымасці, якія запавольвалі рухавічок), магчымасці зборкі ў форме модуля ядра Linux і падтрымцы .
Усяго падтрымліваецца азначэнні каля 300 пратаколаў і прыкладанняў, ад OpenVPN, Tor, QUIC, SOCKS, BitTorrent і IPsec да Telegram, Viber, WhatsApp, PostgreSQL і зваротаў да GMail, Office365, GoogleDocs і YouTube. Маецца дэкадавальнік серверных і кліенцкіх SSL-сертыфікатаў, які дазваляе вызначыць пратакол (напрыклад, Citrix Online і Apple iCloud), выкарыстаючы сертыфікат шыфравання. Для аналізу змесціва pcap-дампаў ці бягучага трафіку праз сеткавы інтэрфейс пастаўляецца ўтыліта nDPIreader.
У новым выпуску:
- Дададзеныя метададзеныя з інфармацыяй аб прычыне выкліку апрацоўшчыка для той ці іншай пагрозы.
- Дададзена функцыя ndpi_check_flow_risk_exceptions() для падлучэння апрацоўшчыкаў сеткавых пагроз.
- Выканана падзел на сеткавыя пратаколы (напрыклад, TLS) і прыкладныя пратаколы (напрыклад, сэрвісы Google).
- Дададзеныя два новыя ўзроўні канфідэнцыйнасці: NDPI_CONFIDENCE_DPI_PARTIAL і NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Дададзены шаблон для вызначэння выкарыстання сэрвісу Cloudflare WARP
- Унутраная рэалізацыя hashmap заменена на uthash.
- Абноўлены прывязкі для мовы Python.
- Па змаўчанні задзейнічана ўбудаваная рэалізацыя gcrypt (для выкарыстання сістэмнай рэалізацыі прапанавана опцыя -with-libgcrypt).
- Пашыраны спектр якія выяўляюцца сеткавых пагроз і праблем, злучаных з рызыкай кампраметацыі (flow risk). Дададзена падтрымка новых тыпаў пагроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT і NDPI_ANONYMOUS_SUBSCRIBER.
- Дададзена падтрымка пратаколаў і сэрвісаў:
- УльтраСёрфінг
- i3D
- riotgames
- ТСАН
- TunnelBear VPN
- сабраны
- PIM (незалежны ад пратаколу шматадрасны)
- Pragmatic General Multicast (PGM)
- RSH
- Прадукты GoTo, такія як GoToMeeting
- Дазн
- MPEG-DASH
- Сетка рэальнага часу, вызначаная праграмным забеспячэннем Agora (SD-RTN)
- Тока Бока
- VXLAN
- DMNS/LLMNR
- Палепшаны разбор і вызначэнне пратаколаў:
- SMTP/SMTPS (дададзена падтрымка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- сістэмны часопіс
- DHCP
- НАТС
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (дададзена падтрымка спецыфікацыі v2drft 01)
- ССДП
- SNMP
- DGA
- AES-NI
Крыніца: opennet.ru