Το έργο ntop, το οποίο αναπτύσσει εργαλεία για τη λήψη και την ανάλυση της κυκλοφορίας, δημοσίευσε την κυκλοφορία του κιτ εργαλείων επιθεώρησης πακέτων σε βάθος nDPI 4.4, το οποίο συνεχίζει την ανάπτυξη της βιβλιοθήκης OpenDPI. Το έργο nDPI ιδρύθηκε μετά από μια ανεπιτυχή προσπάθεια να προωθηθούν αλλαγές στο αποθετήριο OpenDPI, το οποίο έμεινε χωρίς συντήρηση. Ο κωδικός nDPI είναι γραμμένος σε C και έχει άδεια χρήσης σύμφωνα με το LGPLv3.
Το σύστημα σάς επιτρέπει να προσδιορίσετε τα πρωτόκολλα σε επίπεδο εφαρμογής που χρησιμοποιούνται στην κίνηση, αναλύοντας τη φύση της δραστηριότητας του δικτύου χωρίς να συνδέεται με θύρες δικτύου (μπορεί να προσδιορίσει γνωστά πρωτόκολλα των οποίων οι χειριστές δέχονται συνδέσεις σε μη τυπικές θύρες δικτύου, για παράδειγμα, εάν το http δεν αποστέλλεται από τη θύρα 80 ή, αντίθετα, όταν προσπαθούν να καμουφλάρουν άλλη δραστηριότητα δικτύου ως http εκτελώντας τη στη θύρα 80).
Οι διαφορές από το OpenDPI περιλαμβάνουν υποστήριξη για πρόσθετα πρωτόκολλα, μεταφορά στην πλατφόρμα Windows, βελτιστοποίηση απόδοσης, προσαρμογή για χρήση σε εφαρμογές παρακολούθησης της κυκλοφορίας σε πραγματικό χρόνο (ορισμένα συγκεκριμένα χαρακτηριστικά που επιβράδυναν τον κινητήρα αφαιρέθηκαν), τη δυνατότητα δημιουργίας με τη μορφή Μονάδα πυρήνα Linux και υποστήριξη για τον ορισμό υποπρωτοκόλλων .
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
Στη νέα έκδοση:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Προστέθηκε υποστήριξη για πρωτόκολλα και υπηρεσίες:
- UltraSurf
- i3D
- riotgames
- ΤΣΑΝ
- TunnelBear VPN
- συλλέγονται
- PIM (Πολλαπλή εκπομπή ανεξάρτητη από το πρωτόκολλο)
- Pragmatic General Multicast (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Νταζ
- MPEG-DASH
- Δίκτυο σε πραγματικό χρόνο καθορισμένο από το λογισμικό Agora (SD-RTN)
- Τόκα Μπόκα
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- ΝΑΤ
- Viber
- Xiaomi
- Raknet
- γνουτέλα
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Πηγή: opennet.ru