Projekt ntop, který vyvíjí nástroje pro zachycování a analýzu provozu, zveřejnil vydání sady nástrojů pro hloubkovou kontrolu paketů nDPI 4.8, která pokračuje ve vývoji knihovny OpenDPI. Projekt nDPI byl založen po neúspěšném pokusu protlačit změny do úložiště OpenDPI, které zůstalo bez údržby. Kód nDPI je napsán v jazyce C a je licencován pod LGPLv3.
Systém umožňuje určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byl vázán na síťové porty (dokáže určit dobře známé protokoly, jejichž handlery přijímají připojení na nestandardních síťových portech, např. pokud http není odesláno z portu 80, nebo naopak, kdy se snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).
Rozdíly oproti OpenDPI zahrnují podporu dalších protokolů, portování na platformu Windows, optimalizaci výkonu, přizpůsobení pro použití v aplikacích pro sledování provozu v reálném čase (byly odstraněny některé specifické funkce, které zpomalovaly engine), možnost sestavení ve formě Modul linuxového jádra a podpora pro definování podprotokolů.
Podporuje detekci 53 typů síťových hrozeb (riziko toku) a více než 350 protokolů a aplikací (od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec po Telegram, Viber, WhatsApp, PostgreSQL a volání do Gmailu, Office 365, Google Docs a YouTube). Existuje serverový a klientský dekodér certifikátů SSL, který umožňuje určit protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Nástroj nDPIreader je dodáván k analýze obsahu výpisů pcap nebo aktuálního provozu přes síťové rozhraní.
V novém vydání:
- Řádově se snížila spotřeba paměti, a to díky přepracování implementace seznamů.
- Byla rozšířena podpora IPv6.
- Přidány nové identifikátory protokolu související s obsahem pro dospělé, reklamou, webovou analýzou a sledováním.
- Přidána podpora protokolů a služeb:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 bez šifrování
- SRTP (Secure Real-Time Transport)
- BACnet
- OICQ (čínský messenger)
- Přidána definice OperaVPN a ProtonVPN. Vylepšená detekce Wireguard.
- Implementovaná heuristika k identifikaci plně šifrovaných toků provozu.
- Přidána definice služeb Yandex a VK.
- Přidána detekce rolí a příběhů Facebooku.
- Přidána definice herní platformy Roblox, cloudové služby NVIDIA GeForceNow, her Epic Games a hry „Heroes of the Storm“.
- Vylepšená detekce provozu z vyhledávacích robotů.
- Vylepšená analýza a identifikace protokolů a služeb:
- Gnutella
- H323
- HTTP
- Hangout
- Týmy MS
- Alibaba
- MGCP
- Pára
- MySQL
- Zabbix
- Byl rozšířen rozsah identifikovaných síťových hrozeb a problémů spojených s rizikem kompromitace (flow risk). Přidána podpora pro nové typy hrozeb: NDPI_MALWARE_HOST_CONTACTED a NDPI_TLS_ALPN_SNI_MISMATCH.
- Pro identifikaci problémů se spolehlivostí bylo organizováno fuzzing testování.
- Problémy se stavbou na FreeBSD byly vyřešeny.
Zdroj: opennet.ru