El projecte ntop, que desenvolupa eines per capturar i analitzar el trànsit, ha publicat el llançament del conjunt d'eines d'inspecció de paquets profunds nDPI 4.4, que continua el desenvolupament de la biblioteca OpenDPI. El projecte nDPI es va fundar després d'un intent infructuós d'impulsar canvis al repositori OpenDPI, que es va deixar sense manteniment. El codi nDPI està escrit en C i té llicència LGPLv3.
El sistema us permet determinar els protocols a nivell d'aplicació utilitzats en el trànsit, analitzant la naturalesa de l'activitat de la xarxa sense estar lligat a ports de xarxa (pot determinar protocols coneguts els gestors dels quals accepten connexions en ports de xarxa no estàndard, per exemple, si http no s'envia des del port 80, o, per contra, quan intenten camuflar una altra activitat de xarxa com a http executant-lo al port 80).
Les diferències d'OpenDPI inclouen el suport per a protocols addicionals, la portabilitat a la plataforma Windows, l'optimització del rendiment, l'adaptació per al seu ús en aplicacions de monitoratge de trànsit en temps real (algunes característiques específiques que van alentir el motor es van eliminar), la capacitat de construir en forma de Mòdul del nucli de Linux i suport per definir subprotocols .
En total, s'admeten definicions d'uns 300 protocols i aplicacions, des d'OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec fins a Telegram, Viber, WhatsApp, PostgreSQL i trucades a GMail, Office365, GoogleDocs i YouTube. Hi ha un descodificador de certificat SSL de servidor i client que us permet determinar el protocol (per exemple, Citrix Online i Apple iCloud) mitjançant el certificat de xifratge. La utilitat nDPIreader es subministra per analitzar el contingut dels abocadors de pcap o el trànsit actual mitjançant la interfície de xarxa.
A la nova versió:
- S'han afegit metadades amb informació sobre el motiu per trucar al gestor d'una amenaça concreta.
- S'ha afegit la funció ndpi_check_flow_risk_exceptions() per connectar els controladors d'amenaces de xarxa.
- S'ha fet una divisió en protocols de xarxa (per exemple, TLS) i protocols d'aplicació (per exemple, serveis de Google).
- S'han afegit dos nous nivells de privadesa: NDPI_CONFIDENCE_DPI_PARTIAL i NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- S'ha afegit una plantilla per definir l'ús del servei WARP de Cloudflare
- La implementació interna del mapa hash s'ha substituït per uthash.
- S'han actualitzat els enllaços del llenguatge Python.
- Per defecte, la implementació integrada de gcrypt està habilitada (l'opció --with-libgcrypt es proporciona per utilitzar la implementació del sistema).
- S'ha ampliat la gamma d'amenaces i problemes de xarxa identificats associats al risc de compromís (risc de flux). S'ha afegit suport per a nous tipus d'amenaces: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT i NDPI_ANONYMOUS_SUBSCRIBER.
- Suport afegit per a protocols i serveis:
- Ultrasurf
- i3D
- RiotGames
- TSAN
- TunnelBear VPN
- recollit
- PIM (Protocol Independent Multicast)
- Multicast general pragmàtic (PGM)
- RSH
- Productes GoTo com ara GoToMeeting
- Dazn
- MPEG-DASH
- Agora Programari Definitiu Real-time Network (SD-RTN)
- Toca Boca
- VXLAN
- MDNS/LLMNR
- Anàlisi i detecció de protocols millorats:
- SMTP/SMTPS (suport STARTTLS afegit)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (suport afegit per a l'especificació v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Font: opennet.ru