Die Veröffentlichung des Systems für tiefgehende Paketinspektion nDPI 4.8

Das ntop-Projekt, das Werkzeuge zur Erfassung und Analyse von Datenverkehr entwickelt, hat die Version 4.8 des nDPI-Tools für die tiefen Paketinspektion veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde nach dem erfolglosen Versuch gegründet, Änderungen in das OpenDPI-Repository zu übertragen, das seit langem nicht mehr gepflegt wird. Der nDPI-Code ist in C geschrieben und wird unter der LGPLv3-Lizenz vertrieben.

Das System ermöglicht die Identifikation von in der Datenübertragung verwendeten Protokollen auf Anwendungsebene, indem es die Art der Netzwerkaktivität analysiert, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle identifizieren, deren Handler Verbindungen an nicht standardmäßigen Netzwerkports annehmen, zum Beispiel, wenn http nicht über Port 80 bereitgestellt wird oder umgekehrt, wenn eine andere Netzwerkaktivität versucht, sich als http zu tarnen, indem sie auf Port 80 ausgeführt wird).

Die Unterschiede zu OpenDPI liegen in der Unterstützung zusätzlicher Protokolle, der Portierung für die Windows-Plattform, der Leistungsoptimierung und der Anpassung für die Nutzung in Anwendungen zur Echtzeit-Traffic-Überwachung (einige spezifische Funktionen, die den Motor verlangsamt haben, wurden entfernt), der Möglichkeit der Module-Bereitstellung im Kernel von Linux sowie der Unterstützung zur Identifikation von Subprotokollen.

Es wird die Erkennung von 53 Arten von Netzwerkbedrohungen (Flow-Risiko) unterstützt sowie mehr als 350 Protokolle und Anwendungen (von OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec bis hin zu Telegram, Viber, WhatsApp, PostgreSQL und Anfragen an Gmail, Office 365, Google Docs und YouTube). Ein Decoder für Server- und Client-Protokolle ist verfügbar. SSL-Zertifikateder das Protokoll identifizieren kann (z. B. Citrix Online und Apple iCloud) unter Verwendung von Verschlüsselungszertifikaten. Zur Analyse von pcap-Dumps oder laufendem Traffic über Netzwerkschnittstellen wird das Tool nDPIreader bereitgestellt.

In der neuen Version:

  • Der Speicherverbrauch wurde erheblich reduziert, dank einer Überarbeitung der Implementierung von Listen.
  • Erweitert IPv6-Unterstützung.
  • Neue Protokoll-IDs wurden hinzugefügt, die mit Inhalten für Erwachsene, Werbung, Web-Analyse und der Verfolgung von Bewegungen verbunden sind.
  • Unterstützung für die folgenden Protokolle und Dienste hinzugefügt:
    • HAProxy
    • Apache Thrift
    • RMCP (Remote Management Control Protocol)
    • SLP (Service Location Protocol)
    • Bitcoin
    • HTTP/2 ohne Verschlüsselung
    • SRTP (Secure Real-time Transport)
    • BACnet
    • OICQ (chinesischer Messenger)
  • Die Definition von OperaVPN und ProtonVPN wurde hinzugefügt. Die Erkennung von Wireguard wurde verbessert.
  • Es wurde eine Heuristik zur Identifizierung vollständig verschlüsselter Datenströme implementiert.
  • Definition der Services von Yandex und VK hinzugefügt.
  • Definition der Reels und Stories auf Facebook hinzugefügt.
  • Definition der Spieleplattform Roblox, des Cloud-Dienstes NVIDIA GeForce Now, von Spielen der Firma Epic Games und dem Spiel „Heroes of the Storm“ ergänzt.
  • Die Identifizierung von Suchmaschinen-Bot-Traffic wurde verbessert.
  • Die Analyse und Definition von Protokollen und Services wurde optimiert:
    • Gnutella
    • H323
    • HTTP
    • Hangout
    • MS Teams
    • Alibaba
    • MGCP
    • Steam
    • MySQL
    • Zabbix
  • Das Spektrum der erkennbaren Netzwerkbedrohungen und Probleme im Zusammenhang mit Kompromittierungsrisiken (flow risk) wurde erweitert. Unterstützung für neue Bedrohungstypen hinzugefügt: NDPI_MALWARE_HOST_CONTACTED und NDPI_TLS_ALPN_SNI_MISMATCH.
  • Fuzzing-Tests zur Identifizierung von Zuverlässigkeitsproblemen organisiert.
  • Probleme mit dem Build unter FreeBSD wurden behoben.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster