Vydání systému hloubkové kontroly paketů nDPI 5.0

Projekt ntop, který vyvíjí nástroje pro zachycování a analýzu provozu, zveřejnil sadu nástrojů pro hloubkovou kontrolu paketů nDPI 5.0, která pokračuje ve vývoji knihovny OpenDPI. Projekt nDPI byl založen po neúspěšném pokusu protlačit změny do úložiště OpenDPI, které zůstalo bez údržby. Kód nDPI je napsán v jazyce C a je licencován pod LGPLv3.

Systém umožňuje určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byl vázán na síťové porty (dokáže určit dobře známé protokoly, jejichž handlery přijímají připojení na nestandardních síťových portech, např. pokud http není odesláno z portu 80, nebo naopak, kdy se snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).

Rozdíly oproti OpenDPI spočívají v podpoře dalších protokolů a portování na platformu. Windows, optimalizace výkonu, adaptace pro použití v aplikacích pro monitorování provozu v reálném čase (odstranění některých specifických funkcí, které zpomalovaly engine) a možnost sestavení jako modul jádra Linux a podpora pro definici podprotokolů.

Podporuje detekci 56 typů síťových hrozeb (riziko toku dat) a více než 450 protokolů a aplikací (od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec do Telegramu, Viberu, WhatsAppu, PostgreSQL a požadavky do Gmailu, Office 365, Dokumentů Google a YouTube). K dispozici je dekodér pro server i klienta. SSL certifikáty, který umožňuje identifikovat protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Pro analýzu obsahu výpisů z PCAP nebo aktuálního provozu síťového rozhraní je k dispozici nástroj nDPIreader.

V novém vydání:

  • Byl implementován univerzální mechanismus identifikace provozu, který kombinuje metadata o otiscích TCP, hashech certifikátů TLS a JA4 (identifikátory pro identifikaci síťových protokolů a aplikací) do jediného markeru provozu (otisku). Tento nový mechanismus umožňuje přesnější identifikaci a porovnávání šifrovaného nebo obfuskovaného provozu.
  • Přidali jsme možnost detekovat toky TLS, QUIC a HTTP, které obsahují názvy hostitelů (např. v SNI pro TLS/QUIC a v hlavičce Host pro HTTP), které dříve nebyly rozpoznány pomocí DNS. Tuto aktivitu lze použít k identifikaci anomálií, skrytých kanálů pro přenos dat a metod obcházení filtrů.
  • Limit počtu detekovatelných protokolů a kategorií provozu byl zvýšen na 2^16, což umožňuje detekci prakticky neomezeného počtu protokolů během kontroly provozu. Všechny dostupné protokoly jsou nyní ve výchozím nastavení povoleny.
  • Do pravidel pro klasifikaci provozu podle otisků prstů, identifikátorů aplikací a protokolů JA4, URL adres HTTP a kategorií byly přidány nové možnosti.
  • Vylepšená podpora technologie FPC (First Packet Classification), která identifikuje protokoly, aplikace a služby na základě prvního paketu odeslaného při navazování spojení. FPC výrazně snižuje zatížení CPU během kontroly provozu.
  • Byla odstraněna podpora pseudoprotokolů, jako jsou ADULT_CONTENT, LLM a ADS_ANALYTICS_TRACK, které jsou nyní nahrazeny klasifikací založenou na kategoriích.
  • Přidána podpora a parsování pro nové protokoly, včetně Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN a Akamai.
  • Byly přidány nové podkategorie a rozšířena klasifikace služeb Amazon/AWS.
  • Bylo přidáno přibližně 30 nových kategorií a byla zvýšena úroveň detailů v analýze návštěvnosti.
  • Přidán analyzátor velikosti datových bloků pro TLS připojení.
  • Přidána možnost vytvářet protokolové zásobníky, které při klasifikaci provozu zahrnují dva nebo více protokolů.
  • Přidána nová API pro hodnocení provozu a kódování/dekódování hexadecimálních sekvencí.
  • Aktualizované seznamy botů, síťových skenerů a těžebních poolů.
  • Aktualizovaný kód pro parsování protokolů HTTP, TLS a STUN.
  • Inicializace byla zrychlena a správa paměti byla vylepšena.

Zdroj: opennet.ru

Kupte si spolehlivý hosting pro stránky s DDoS ochranou, VPS VDS servery 🔥 Kupte si spolehlivý webhosting s ochranou DDoS, VPS VDS servery | ProHoster