ntop-projektet, som udvikler værktøjer til at fange og analysere trafik, har offentliggjort udgivelsen af nDPI 4.4 deep packet inspection toolkit, som fortsætter udviklingen af OpenDPI-biblioteket. nDPI-projektet blev grundlagt efter et mislykket forsøg på at skubbe ændringer til OpenDPI-lageret, som blev efterladt uvedligeholdt. nDPI-koden er skrevet i C og er licenseret under LGPLv3-licensen.
Systemet giver dig mulighed for at bestemme protokollerne på applikationsniveau, der bruges i trafikken, ved at analysere arten af netværksaktivitet uden at være bundet til netværksporte (det kan bestemme velkendte protokoller, hvis handlere accepterer forbindelser på ikke-standard netværksporte, f.eks. hvis http ikke sendes fra port 80, eller omvendt, hvornår som De forsøger at camouflere anden netværksaktivitet som http ved at køre den på port 80).
Forskelle fra OpenDPI omfatter understøttelse af yderligere protokoller, portering til Windows-platformen, ydeevneoptimering, tilpasning til brug i real-time trafikovervågningsapplikationer (nogle specifikke funktioner, der bremsede motoren blev fjernet), muligheden for at bygge i form af en Linux-kernemodul og support til at definere underprotokoller.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
I den nye udgivelse:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Tilføjet support til protokoller og tjenester:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- indsamlet
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Dazn
- MPEG-DASH
- Agora Software Defined Real-Time Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin indvirkning
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Kilde: opennet.ru