Выпуск системы глубокого инспектирования пакетов nDPI 4.10

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 4.10, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 55 типов сетевых угроз (flow risk) и более 420 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

• Добавлена начальная поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC реализуем лишь для части протоколов и позволяет существенно снизить нагрузку на CPU при инспектировании трафика.
• Добавлена поддержка и разбор более 70 новых протоколов и сервисов, среди которых:
  • Adobe Connect
  • ANSI C12.22
  • Apache Kafka
  • Beckhoff ADS
  • BFCP
  • BFD
  • Bluesky
  • Call of Duty Mobile
  • CAN over Ethernet
  • Ceph
  • ClickHouse
  • DLE
  • DTLS 1.3
  • Elder Scrolls Online support (#2376)
  • ElectronicArts
  • ethereum protocol dissector
  • Ethernet Global Data
  • Ether-S-Bus
  • Ether-S-I/O
  • FB-Threads
  • FLUTE
  • Gearman
  • Google Chat
  • Google Protobuf
  • HART-IP
  • HiSLIP
  • HL7
  • HLS
  • IEC62056 (DLMS/COSEM)
  • IEEE 1588-2008 (PTPv2)
  • IEEE C37.118
  • ISO 9506-1 MMS
  • JSON-RPC
  • KCP
  • KNXnet/IP
  • Label Distribution Protocol
  • Mastodon
  • Monero
  • Mumble
  • Nano (XNO)
  • Naraka Bladepoint
  • NetEase
  • NoMachine NX
  • Omron FINS
  • OPC UA
  • OpenFlow
  • OpenWire
  • Path of Exile
  • PFCP
  • PIA (Private Internet Access) support (#2250)
  • PROFINET/IO
  • Radmin
  • Raft
  • Ripe Atlas probe protocol.
  • Roughtime
  • RTPS
  • S7Comm
  • Schneider Electric UMAS
  • STOMP
  • TencentGames
  • Twitter bot
  • UFTP
  • Viber (voip)
  • WebDAV
  • Yojimbo (netcode)
  • ZUG
• Улучшен разбор и определение протоколов и сервисов:
  • Bittorrent
  • Cloudflare WARP
  • CORBA
  • CryNetwork
  • DNS
  • Dropbox
  • eDonkey
  • H323
  • Kafka
  • MySQL
  • PrimeVideo
  • Protobuf
  • QUIC
  • Telegram
  • TFTP
  • Twitter/X (#2482)
  • Wireguard
  • Zoom
• Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.
• Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk).
• Добавлен скрипт для загрузки и обновления списка суффиксов доменов.
• Обеспечена идентификация трафика Huawei.
• Проведена оптимизация производительности.
• Расширена поддержка IPv6.

Источник: opennet.ru