Праект ntop, які развівае прылады для захопу і аналізу трафіку, апублікаваў выпуск інструментара для глыбокага інспектавання пакетаў nDPI 4.8, які працягвае развіццё бібліятэкі OpenDPI. Праект nDPI заснаваны пасля беспаспяховай спробы перадачы змен у рэпазітар OpenDPI, які застаўся без суправаджэння. Код nDPI напісаны на мове Сі і распаўсюджваецца пад ліцэнзіяй LGPLv3.
Сістэма дазваляе вызначаць у трафіку выкарыстоўваныя пратаколы ўзроўня прыкладання, аналізуючы характар сеткавай актыўнасці без прывязкі да сеткавых партоў (можа вызначаць вядомыя пратаколы, апрацоўшчыкі якіх прымаюць злучэнні на нестандартных сеткавых партах, напрыклад, калі http аддаецца не з 80 порта, ці, наадварот, калі якую -то іншую сеткавую актыўнасць спрабуюць закамуфляваць пад http праз запуск на 80 порце).
Адрозненні ад OpenDPI зводзяцца да падтрымкі дадатковых пратаколаў, партаванню для платформы Windows, аптымізацыі прадукцыйнасці, адаптацыі для ўжывання ў прыкладаннях для маніторынгу трафіку ў рэжыме рэальнага часу (прыбраныя некаторыя спецыфічныя магчымасці, якія запавольвалі рухавічок), магчымасці зборкі ў форме модуля ядра Linux і падтрымцы .
Падтрымліваецца вызначэнне 53 тыпу сеткавых пагроз (flow risk) і больш за 350 пратаколаў і дадаткаў (ад OpenVPN, Tor, QUIC, SOCKS, BitTorrent і IPsec да Telegram, Viber, WhatsApp, PostgreSQL і зваротаў да Gmail, Office 365, Google Docs і YouTube) . Маецца дэкадавальнік серверных і кліенцкіх SSL-сертыфікатаў, які дазваляе вызначыць пратакол (напрыклад, Citrix Online і Apple iCloud), выкарыстаючы сертыфікат шыфравання. Для аналізу змесціва pcap-дампаў ці бягучага трафіку праз сеткавы інтэрфейс пастаўляецца ўтыліта nDPIreader.
У новым выпуску:
- На парадкі паніжанае спажыванне памяці, дзякуючы перапрацоўцы рэалізацыі спісаў.
- Пашыраная падтрымка IPv6.
- Дададзены новыя ідэнтыфікатары пратаколаў, звязаныя з кантэнтам для дарослых, рэкламай, web-аналітыкай і адсочваннем перасоўванняў.
- Дададзена падтрымка пратаколаў і сэрвісаў:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 без шыфравання
- SRTP (Secure Real-time Transport)
- BACnet
- OICQ (кітайскі мэсанджар)
- Дададзена вызначэнне OperaVPN і ProtonVPN. Палепшана вызначэнне Wireguard.
- Рэалізавана эўрыстыка для выяўлення цалкам шыфраваных патокаў трафіку.
- Дададзена вызначэнне серывісаў Yandex і VK.
- Дададзена вызначэнне рылсаў і старыс Facebook.
- Дададзена вызначэнне гульнявой платформы Roblox, хмарнага сэрвісу NVIDIA GeForceNow, гульняў кампаніі Epic Games, гульні "Heroes of the Storm".
- Палепшана вызначэнне трафіку ад пошукавых робатаў.
- Палепшаны разбор і вызначэнне пратаколаў і сэрвісаў:
- Гнутэла
- H323
- HTTP
- тусоўка
- Каманды MS
- Alibaba
- MGCP
- Пар
- MySQL
- Zabbix
- Пашыраны спектр якія выяўляюцца сеткавых пагроз і праблем, злучаных з рызыкай кампраметацыі (flow risk). Дададзена падтрымка новых тыпаў пагроз: NDPI_MALWARE_HOST_CONTACTED і NDPI_TLS_ALPN_SNI_MISMATCH.
- Арганізавана fuzzing-тэставанне для выяўленне праблем з надзейнасцю.
- Вырашаны праблемы са зборкай ва FreeBSD.
Крыніца: opennet.ru