Das ntop-Projekt, das Tools zur Erfassung und Analyse des Datenverkehrs entwickelt, hat die Veröffentlichung des nDPI 4.8 Deep Packet Inspection Toolkits veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde nach einem erfolglosen Versuch gegründet, Änderungen am OpenDPI-Repository vorzunehmen, das nicht gepflegt wurde. Der nDPI-Code ist in C geschrieben und unter LGPLv3 lizenziert.
Mit dem System können Sie die im Datenverkehr verwendeten Protokolle auf Anwendungsebene bestimmen und die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle ermitteln, deren Handler Verbindungen zu nicht standardmäßigen Netzwerkports akzeptieren, z. B. wenn http nicht von Port 80 gesendet wird, oder umgekehrt, wenn sie versuchen, andere Netzwerkaktivitäten als http zu tarnen, indem sie es auf Port 80 ausführen).
Zu den Unterschieden zu OpenDPI gehören die Unterstützung zusätzlicher Protokolle, die Portierung auf die Windows-Plattform, Leistungsoptimierung, Anpassung für den Einsatz in Echtzeit-Verkehrsüberwachungsanwendungen (einige spezifische Funktionen, die die Engine verlangsamten, wurden entfernt), die Möglichkeit, in Form eines zu erstellen Linux-Kernelmodul und Unterstützung für die Definition von Unterprotokollen.
Unterstützt die Erkennung von 53 Arten von Netzwerkbedrohungen (Flow-Risiko) und mehr als 350 Protokollen und Anwendungen (von OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec bis hin zu Telegram, Viber, WhatsApp, PostgreSQL und Anrufen an Gmail, Office 365, Google Docs). und YouTube). Es gibt einen Server- und Client-SSL-Zertifikatdecoder, mit dem Sie das Protokoll (z. B. Citrix Online und Apple iCloud) anhand des Verschlüsselungszertifikats ermitteln können. Das Dienstprogramm nDPIreader wird mitgeliefert, um den Inhalt von PCAP-Dumps oder den aktuellen Datenverkehr über die Netzwerkschnittstelle zu analysieren.
In der neuen Version:
- Dank der Überarbeitung der Listenimplementierung konnte der Speicherverbrauch um Größenordnungen reduziert werden.
- Die IPv6-Unterstützung wurde erweitert.
- Neue Protokollkennungen für Inhalte für Erwachsene, Werbung, Webanalyse und Tracking hinzugefügt.
- Unterstützung für Protokolle und Dienste hinzugefügt:
- HAProxy
- Apache-Sparsamkeit
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 ohne Verschlüsselung
- SRTP (Sicherer Echtzeittransport)
- BACnet
- OICQ (Chinesischer Messenger)
- Definition von OperaVPN und ProtonVPN hinzugefügt. Verbesserte Wireguard-Erkennung.
- Implementierung von Heuristiken zur Identifizierung vollständig verschlüsselter Verkehrsströme.
- Definition der Yandex- und VK-Dienste hinzugefügt.
- Erkennung von Facebook-Reels und -Storys hinzugefügt.
- Definition der Roblox-Gaming-Plattform, des NVIDIA GeForceNow-Cloud-Dienstes, der Epic Games-Spiele und des Spiels „Heroes of the Storm“ hinzugefügt.
- Verbesserte Erkennung des Datenverkehrs von Such-Bots.
- Verbessertes Parsing und Identifizierung von Protokollen und Diensten:
- Gnutella
- H323
- HTTP
- Hangout
- MS Teams
- Alibaba
- MGCP
- Steam
- MySQL
- Zabbix
- Das Spektrum der identifizierten Netzwerkbedrohungen und Probleme, die mit dem Risiko einer Kompromittierung (Flow-Risiko) verbunden sind, wurde erweitert. Unterstützung für neue Bedrohungstypen hinzugefügt: NDPI_MALWARE_HOST_CONTACTED und NDPI_TLS_ALPN_SNI_MISMATCH.
- Zur Identifizierung von Zuverlässigkeitsproblemen wurden Fuzzing-Tests durchgeführt.
- Probleme beim Erstellen auf FreeBSD wurden behoben.
Source: opennet.ru