Das ntop-Projekt, das Tools zur Erfassung und Analyse des Datenverkehrs entwickelt, hat die Veröffentlichung des nDPI 4.4 Deep Packet Inspection Toolkits veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde nach einem erfolglosen Versuch gegründet, Änderungen am OpenDPI-Repository vorzunehmen, das nicht gepflegt wurde. Der nDPI-Code ist in C geschrieben und unter LGPLv3 lizenziert.
Mit dem System können Sie die im Datenverkehr verwendeten Protokolle auf Anwendungsebene bestimmen und die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle ermitteln, deren Handler Verbindungen zu nicht standardmäßigen Netzwerkports akzeptieren, z. B. wenn http nicht von Port 80 gesendet wird, oder umgekehrt, wenn sie versuchen, andere Netzwerkaktivitäten als http zu tarnen, indem sie es auf Port 80 ausführen).
Zu den Unterschieden zu OpenDPI gehören die Unterstützung zusätzlicher Protokolle, die Portierung auf die Windows-Plattform, Leistungsoptimierung, Anpassung für den Einsatz in Echtzeit-Verkehrsüberwachungsanwendungen (einige spezifische Funktionen, die die Engine verlangsamten, wurden entfernt), die Möglichkeit, in Form eines zu erstellen Linux-Kernelmodul und Unterstützung für die Definition von Unterprotokollen.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
In der neuen Version:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Unterstützung für Protokolle und Dienste hinzugefügt:
- UltraSurf
- i3D
- Aufruhrspiele
- tsan
- TunnelBear VPN
- gesammelt
- PIM (Protokollunabhängiges Multicast)
- Pragmatisches allgemeines Multicast (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Dazn
- MPEG-DASH
- Agora Softwaredefiniertes Echtzeitnetzwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin-Auswirkung
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- Gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Source: opennet.ru