Das ntop-Projekt, das Tools zur Erfassung und Analyse des Datenverkehrs entwickelt, hat die Veröffentlichung des nDPI 4.4 Deep Packet Inspection Toolkits veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde nach einem erfolglosen Versuch gegründet, Änderungen am OpenDPI-Repository vorzunehmen, das nicht gepflegt wurde. Der nDPI-Code ist in C geschrieben und unter LGPLv3 lizenziert.
Mit dem System können Sie die im Datenverkehr verwendeten Protokolle auf Anwendungsebene bestimmen und die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle ermitteln, deren Handler Verbindungen zu nicht standardmäßigen Netzwerkports akzeptieren, z. B. wenn http nicht von Port 80 gesendet wird, oder umgekehrt, wenn sie versuchen, andere Netzwerkaktivitäten als http zu tarnen, indem sie es auf Port 80 ausführen).
Die Unterschiede zu OpenDPI beschränken sich auf die Unterstützung zusätzlicher Protokolle und die Portierung auf die Plattform. WindowsLeistungsoptimierungen, Anpassung für den Einsatz in Echtzeit-Verkehrsüberwachungsanwendungen (Entfernung einiger spezifischer Funktionen, die die Engine verlangsamten) und die Möglichkeit, als Kernelmodul zu kompilieren Linux und Unterstützung für die Definition von Unterprotokollen.
Insgesamt werden Definitionen von etwa 300 Protokollen und Anwendungen unterstützt, von OpenVPNTor, QUIC, SOCKS, BitTorrent und IPsec für Telegram, Viber, WhatsApp, PostgreSQL sowie Zugriff auf Gmail, Office 365, Google Docs und YouTube. Ein Server- und Client-Decoder ist verfügbar. SSL-ZertifikateDas Tool ermöglicht die Identifizierung eines Protokolls (z. B. Citrix Online und Apple iCloud) anhand eines Verschlüsselungszertifikats. Das Dienstprogramm nDPIreader dient zur Analyse von PCAP-Dumps oder des aktuellen Netzwerkverkehrs.
In der neuen Version:
- Metadaten mit Informationen über den Grund für den Aufruf des Handlers für eine bestimmte Bedrohung hinzugefügt.
- Die Funktion ndpi_check_flow_risk_exclusions() zum Verbinden von Netzwerk-Bedrohungshandlern wurde hinzugefügt.
- Es wurde eine Unterteilung in Netzwerkprotokolle (z. B. TLS) und Anwendungsprotokolle (z. B. Google-Dienste) vorgenommen.
- Zwei neue Datenschutzstufen hinzugefügt: NDPI_CONFIDENCE_DPI_PARTIAL und NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Vorlage hinzugefügt, um die Nutzung des Cloudflare WARP-Dienstes zu definieren
- Die interne Hashmap-Implementierung wurde durch Uthash ersetzt.
- Aktualisierte Python-Sprachbindungen.
- Standardmäßig ist die integrierte gcrypt-Implementierung aktiviert (die Option --with-libgcrypt wird zur Verwendung der Systemimplementierung bereitgestellt).
- Das Spektrum der identifizierten Netzwerkbedrohungen und Probleme, die mit dem Risiko einer Kompromittierung (Flow-Risiko) verbunden sind, wurde erweitert. Unterstützung für neue Bedrohungstypen hinzugefügt: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT und NDPI_ANONYMOUS_SUBSCRIBER.
- Unterstützung für Protokolle und Dienste hinzugefügt:
- UltraSurf
- i3D
- Aufruhrspiele
- tsan
- Tunnelbär VPN
- gesammelt
- PIM (Protokollunabhängiges Multicast)
- Pragmatisches allgemeines Multicast (PGM)
- RSH
- GoTo-Produkte wie GoToMeeting
- Dazn
- MPEG-DASH
- Agora Softwaredefiniertes Echtzeitnetzwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Verbesserte Protokollanalyse und -erkennung:
- SMTP/SMTPS (STARTTLS-Unterstützung hinzugefügt)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP über HTTP
- Genshin-Auswirkung
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- Gnutella
- Kerberos
- QUIC (Unterstützung für die Spezifikation v2drft 01 hinzugefügt)
- SSDP
- SNMP
- DGA
- AES-NI
Source: opennet.ru
