Projekt ntop, který vyvíjí nástroje pro zachycování a analýzu provozu, zveřejnil vydání sady nástrojů pro hloubkovou kontrolu paketů nDPI 4.4, která pokračuje ve vývoji knihovny OpenDPI. Projekt nDPI byl založen po neúspěšném pokusu protlačit změny do úložiště OpenDPI, které zůstalo bez údržby. Kód nDPI je napsán v jazyce C a je licencován pod LGPLv3.
Systém umožňuje určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byl vázán na síťové porty (dokáže určit dobře známé protokoly, jejichž handlery přijímají připojení na nestandardních síťových portech, např. pokud http není odesláno z portu 80, nebo naopak, kdy se snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).
Rozdíly oproti OpenDPI zahrnují podporu dalších protokolů, portování na platformu Windows, optimalizaci výkonu, přizpůsobení pro použití v aplikacích pro sledování provozu v reálném čase (byly odstraněny některé specifické funkce, které zpomalovaly engine), možnost sestavení ve formě Modul linuxového jádra a podpora pro definování podprotokolů.
Celkem jsou podporovány definice asi 300 protokolů a aplikací, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec až po Telegram, Viber, WhatsApp, PostgreSQL a volání do GMail, Office365, GoogleDocs a YouTube. Existuje serverový a klientský dekodér certifikátů SSL, který umožňuje určit protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Nástroj nDPIreader je dodáván k analýze obsahu výpisů pcap nebo aktuálního provozu přes síťové rozhraní.
V novém vydání:
- Přidána metadata s informacemi o důvodu volání handleru pro konkrétní hrozbu.
- Přidána funkce ndpi_check_flow_risk_exceptions() pro připojení ovladačů síťových hrozeb.
- Bylo provedeno rozdělení na síťové protokoly (například TLS) a aplikační protokoly (například služby Google).
- Přidány dvě nové úrovně ochrany soukromí: NDPI_CONFIDENCE_DPI_PARTIAL a NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Přidána šablona pro definování použití služby Cloudflare WARP
- Interní implementace hashmap byla nahrazena uthash.
- Aktualizované vazby jazyka Python.
- Ve výchozím nastavení je povolena vestavěná implementace gcrypt (pro použití systémové implementace je k dispozici volba --with-libgcrypt).
- Byl rozšířen rozsah identifikovaných síťových hrozeb a problémů spojených s rizikem kompromitace (flow risk). Přidána podpora pro nové typy hrozeb: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT a NDPI_ANONYMOUS_SUBSCRIBER.
- Přidána podpora protokolů a služeb:
- UltraSurf
- i3D
- nepokoje
- tsan
- TunnelBear VPN
- shromážděno
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- Produkty GoTo, jako je GoToMeeting
- dazn
- MPEG-DASH
- Síť v reálném čase definovaná softwarem Agora (SD-RTN)
- Klepněte na Boca
- VXLAN
- DMNS/LLMNR
- Vylepšená analýza a detekce protokolu:
- SMTP/SMTPS (přidaná podpora STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP přes HTTP
- Genshinův dopad
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (přidaná podpora pro specifikaci v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Zdroj: opennet.ru