Το έργο ntop, το οποίο αναπτύσσει εργαλεία για τη λήψη και την ανάλυση της κυκλοφορίας, δημοσίευσε την κυκλοφορία του κιτ εργαλείων επιθεώρησης πακέτων σε βάθος nDPI 4.8, το οποίο συνεχίζει την ανάπτυξη της βιβλιοθήκης OpenDPI. Το έργο nDPI ιδρύθηκε μετά από μια ανεπιτυχή προσπάθεια να προωθηθούν αλλαγές στο αποθετήριο OpenDPI, το οποίο έμεινε χωρίς συντήρηση. Ο κωδικός nDPI είναι γραμμένος σε C και έχει άδεια χρήσης σύμφωνα με το LGPLv3.
Το σύστημα σάς επιτρέπει να προσδιορίσετε τα πρωτόκολλα σε επίπεδο εφαρμογής που χρησιμοποιούνται στην κίνηση, αναλύοντας τη φύση της δραστηριότητας του δικτύου χωρίς να συνδέεται με θύρες δικτύου (μπορεί να προσδιορίσει γνωστά πρωτόκολλα των οποίων οι χειριστές δέχονται συνδέσεις σε μη τυπικές θύρες δικτύου, για παράδειγμα, εάν το http δεν αποστέλλεται από τη θύρα 80 ή, αντίθετα, όταν προσπαθούν να καμουφλάρουν άλλη δραστηριότητα δικτύου ως http εκτελώντας τη στη θύρα 80).
Οι διαφορές από το OpenDPI περιλαμβάνουν υποστήριξη για πρόσθετα πρωτόκολλα, μεταφορά στην πλατφόρμα Windows, βελτιστοποίηση απόδοσης, προσαρμογή για χρήση σε εφαρμογές παρακολούθησης της κυκλοφορίας σε πραγματικό χρόνο (ορισμένα συγκεκριμένα χαρακτηριστικά που επιβράδυναν τον κινητήρα αφαιρέθηκαν), τη δυνατότητα δημιουργίας με τη μορφή Μονάδα πυρήνα Linux και υποστήριξη για τον ορισμό υποπρωτοκόλλων .
Υποστηρίζει τον εντοπισμό 53 τύπων απειλών δικτύου (κίνδυνος ροής) και περισσότερα από 350 πρωτόκολλα και εφαρμογές (από OpenVPN, Tor, QUIC, SOCKS, BitTorrent και IPsec έως Telegram, Viber, WhatsApp, PostgreSQL και κλήσεις προς Gmail, Office 365, Έγγραφα Google και YouTube). Υπάρχει ένας αποκωδικοποιητής πιστοποιητικού SSL διακομιστή και πελάτη που σας επιτρέπει να προσδιορίσετε το πρωτόκολλο (για παράδειγμα, Citrix Online και Apple iCloud) χρησιμοποιώντας το πιστοποιητικό κρυπτογράφησης. Το βοηθητικό πρόγραμμα nDPIreader παρέχεται για την ανάλυση των περιεχομένων των pcap dumps ή της τρέχουσας κίνησης μέσω της διεπαφής δικτύου.
Στη νέα έκδοση:
- Η κατανάλωση μνήμης έχει μειωθεί κατά τάξεις μεγέθους, χάρη στην εκ νέου επεξεργασία της υλοποίησης των λιστών.
- Η υποστήριξη IPv6 έχει επεκταθεί.
- Προστέθηκαν νέα αναγνωριστικά πρωτοκόλλου που σχετίζονται με περιεχόμενο για ενηλίκους, διαφημίσεις, αναλυτικά στοιχεία ιστού και παρακολούθηση.
- Προστέθηκε υποστήριξη για πρωτόκολλα και υπηρεσίες:
- HAProxy
- Apache Thrift
- RMCP (πρωτόκολλο απομακρυσμένου ελέγχου)
- SLP (Πρωτόκολλο τοποθεσίας υπηρεσίας)
- Bitcoin
- HTTP/2 χωρίς κρυπτογράφηση
- SRTP (Ασφαλής μεταφορά σε πραγματικό χρόνο)
- BACnet
- OICQ (Κινεζικός αγγελιοφόρος)
- Προστέθηκε ο ορισμός του OperaVPN και του ProtonVPN. Βελτιωμένη ανίχνευση Wireguard.
- Εφαρμόστηκαν ευρετικές μέθοδοι για τον εντοπισμό πλήρως κρυπτογραφημένων ροών κυκλοφορίας.
- Προστέθηκε ο ορισμός των υπηρεσιών Yandex και VK.
- Προστέθηκε ανίχνευση τροχών και ιστοριών Facebook.
- Προστέθηκε ο ορισμός της πλατφόρμας παιχνιδιών Roblox, της υπηρεσίας cloud NVIDIA GeForceNow, των παιχνιδιών Epic Games και του παιχνιδιού "Heroes of the Storm".
- Βελτιωμένη ανίχνευση επισκεψιμότητας από ρομπότ αναζήτησης.
- Βελτιωμένη ανάλυση και αναγνώριση πρωτοκόλλων και υπηρεσιών:
- gnutella
- H323
- HTTP
- Hangout
- MS ομάδες
- Alibaba
- MGCP
- Ατμός
- MySQL
- Zabbix
- Το εύρος των εντοπισμένων απειλών δικτύου και προβλημάτων που σχετίζονται με τον κίνδυνο συμβιβασμού (κίνδυνος ροής) έχει διευρυνθεί. Προστέθηκε υποστήριξη για νέους τύπους απειλών: NDPI_MALWARE_HOST_CONTACTED και NDPI_TLS_ALPN_SNI_MISMATCH.
- Διοργανώθηκαν δοκιμές ασαφούς για τον εντοπισμό προβλημάτων αξιοπιστίας.
- Τα προβλήματα με τη δημιουργία στο FreeBSD επιλύθηκαν.
Πηγή: opennet.ru