Projekat ntop, koji razvija alate za hvatanje i analizu saobraćaja, objavio je izdanje nDPI 4.8 alata za duboku inspekciju paketa, koji nastavlja razvoj OpenDPI biblioteke. nDPI projekat je osnovan nakon neuspješnog pokušaja unošenja promjena u OpenDPI repozitorijum, koji je ostao neodržavan. nDPI kod je napisan u C i licenciran je pod LGPLv3.
Sistem vam omogućava da odredite protokole na nivou aplikacije koji se koriste u prometu, analizirajući prirodu mrežne aktivnosti bez vezivanja za mrežne portove (može odrediti dobro poznate protokole čiji rukovaoci prihvataju veze na nestandardnim mrežnim portovima, na primjer, ako se http ne šalje sa porta 80, ili, obrnuto, kada pokušavaju da kamufliraju drugu mrežnu aktivnost kao http tako što ga pokreću na portu 80).
Razlike u odnosu na OpenDPI uključuju podršku za dodatne protokole, prenos na Windows platformu, optimizaciju performansi, prilagođavanje za korištenje u aplikacijama za praćenje prometa u realnom vremenu (uklonjene su neke specifične karakteristike koje su usporavale motor), mogućnost izgradnje u obliku Linux kernel modul i podrška za definiranje podprotokola.
Поддерживается определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
U novom izdanju:
- На порядки снижено потребление памяти, благодаря переработке реализации списков.
- Расширена поддержка IPv6.
- Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.
- Dodata podrška za protokole i usluge:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 без шифрования
- SRTP (Secure Real-time Transport)
- BACnet
- OICQ (китайский мессенджер)
- Добавлено определение OperaVPN и ProtonVPN. Улучшено определение Wireguard.
- Реализована эвристика для выявления полностью шифрованных потоков трафика.
- Добавлено определение серивисов Yandex и VK.
- Добавлено определение рилсов и сторис Facebook.
- Добавлено определение игровой платформы Roblox, облачного сервиса NVIDIA GeForceNow, игр компании Epic Games, игры «Heroes of the Storm».
- Улучшено определение трафика от поисковых ботов.
- Улучшен разбор и определение протоколов и сервисов:
- gnutella
- H323
- HTTP
- Hangout
- MS timovi
- Alibaba
- MGCP
- para
- MySQL
- Zabbix
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_MALWARE_HOST_CONTACTED и NDPI_TLS_ALPN_SNI_MISMATCH.
- Организовано fuzzing-тестирование для выявление проблем с надёжностью.
- Problemi sa izgradnjom na FreeBSD-u su riješeni.
izvor: opennet.ru