ProHoster > Blog > internet nyheder > Frigivelse af nDPI 4.8 deep packet inspektionssystem

Frigivelse af nDPI 4.8 deep packet inspektionssystem

ntop-projektet, som udvikler værktøjer til at fange og analysere trafik, har offentliggjort udgivelsen af ​​nDPI 4.8 deep packet inspection toolkit, som fortsætter udviklingen af ​​OpenDPI-biblioteket. nDPI-projektet blev grundlagt efter et mislykket forsøg på at skubbe ændringer til OpenDPI-lageret, som blev efterladt uvedligeholdt. nDPI-koden er skrevet i C og er licenseret under LGPLv3-licensen.

Systemet giver dig mulighed for at bestemme protokollerne på applikationsniveau, der bruges i trafikken, ved at analysere arten af ​​netværksaktivitet uden at være bundet til netværksporte (det kan bestemme velkendte protokoller, hvis handlere accepterer forbindelser på ikke-standard netværksporte, f.eks. hvis http ikke sendes fra port 80, eller omvendt, hvornår som De forsøger at camouflere anden netværksaktivitet som http ved at køre den på port 80).

Forskelle fra OpenDPI omfatter understøttelse af yderligere protokoller, portering til Windows-platformen, ydeevneoptimering, tilpasning til brug i real-time trafikovervågningsapplikationer (nogle specifikke funktioner, der bremsede motoren blev fjernet), muligheden for at bygge i form af en Linux-kernemodul og support til at definere underprotokoller.

Understøtter detektering af 53 typer netværkstrusler (flowrisiko) og mere end 350 protokoller og applikationer (fra OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram, Viber, WhatsApp, PostgreSQL og opkald til Gmail, Office 365, Google Docs og YouTube). Der er en server- og klient-SSL-certifikatdekoder, der giver dig mulighed for at bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjælp af krypteringscertifikatet. nDPIreader-værktøjet leveres til at analysere indholdet af pcap-dumps eller aktuel trafik via netværksgrænsefladen.

I den nye udgivelse:

  • Hukommelsesforbruget er blevet reduceret i størrelsesordener takket være omarbejdningen af ​​implementeringen af ​​lister.
  • IPv6-understøttelse er blevet udvidet.
  • Tilføjet nye protokolidentifikatorer relateret til voksenindhold, annoncering, webanalyse og sporing.
  • Tilføjet support til protokoller og tjenester:
    • HAProxy
    • Apache sparsommelighed
    • RMCP (Remote Management Control Protocol)
    • SLP (Service Location Protocol)
    • Bitcoin
    • HTTP/2 uden kryptering
    • SRTP (Secure Real-time Transport)
    • BACnet
    • OICQ (kinesisk messenger)
  • Tilføjet definition af OperaVPN og ProtonVPN. Forbedret Wireguard-detektion.
  • Implementeret heuristik til at identificere fuldt krypterede trafikstrømme.
  • Tilføjet definition af Yandex- og VK-tjenester.
  • Tilføjet registrering af Facebook-hjul og historier.
  • Tilføjet definition af Roblox-spilplatformen, NVIDIA GeForceNow-skytjenesten, Epic Games-spil og spillet "Heroes of the Storm".
  • Forbedret registrering af trafik fra søgerobotter.
  • Forbedret parsing og identifikation af protokoller og tjenester:
    • Gnutella
    • H323
    • HTTP
    • Hangout
    • MS-hold
    • Alibaba
    • MGCP
    • Damp
    • MySQL
    • Zabbix
  • Udvalget af identificerede netværkstrusler og problemer forbundet med risikoen for kompromis (flowrisiko) er blevet udvidet. Tilføjet understøttelse af nye trusselstyper: NDPI_MALWARE_HOST_CONTACTED og NDPI_TLS_ALPN_SNI_MISMATCH.
  • Fuzzing test blev organiseret for at identificere pålidelighedsproblemer.
  • Problemer med at bygge på FreeBSD er blevet løst.

Kilde: opennet.ru

Tilføj en kommentar