La projekto ntop, kiu disvolvas ilojn por kapti kaj analizi trafikon, publikigis la liberigon de la ilaro de profunda paka inspektado nDPI 4.8, kiu daŭrigas la disvolviĝon de la biblioteko OpenDPI. La nDPI-projekto estis fondita post malsukcesa provo puŝi ŝanĝojn al la OpenDPI-deponejo, kiu estis lasita neprizorgita. La nDPI-kodo estas skribita en C kaj estas licencita laŭ LGPLv3.
La sistemo ebligas al vi determini la aplikajn nivelajn protokolojn uzatajn en la trafiko, analizante la naturon de reta agado sen esti ligita al retaj havenoj (ĝi povas determini konatajn protokolojn, kies prizorgantoj akceptas konektojn sur ne-normaj retaj havenoj, ekzemple, se http ne estas sendita de haveno 80, aŭ, male, kiam kiu Ili provas kamufli alian retan agadon kiel http rulante ĝin sur haveno 80).
Diferencoj de OpenDPI inkluzivas subtenon por kromaj protokoloj, porti al la Vindoza platformo, rendimentooptimumigo, adaptado por uzo en realtempa trafika monitorado de aplikoj (kelkaj specifaj trajtoj kiuj malrapidigis la motoron estis forigitaj), la kapablo konstrui en la formo de Linuksa kernomodulo, kaj subteno por difinado de subprotokoloj.
Elportas detekton de 53 specoj de retaj minacoj (flua risko) kaj pli ol 350 protokoloj kaj aplikoj (de OpenVPN, Tor, QUIC, SOCKS, BitTorrent kaj IPsec ĝis Telegram, Viber, WhatsApp, PostgreSQL kaj alvokoj al Gmail, Office 365, Google Docs). kaj Jutubo). Estas servilo kaj kliento SSL-atestila malĉifrilo, kiu permesas vin determini la protokolon (ekzemple Citrix Online kaj Apple iCloud) uzante la ĉifradan atestilon. La ilo nDPIreader estas provizita por analizi la enhavon de pcap-ruboj aŭ aktuala trafiko per la reto-interfaco.
En la nova eldono:
- La konsumo de memoro estis reduktita per ordoj de grandeco, danke al la reverkado de la efektivigo de listoj.
- IPv6-subteno estis pligrandigita.
- Aldonitaj novaj protokolaj identigiloj rilataj al plenkreska enhavo, reklamado, interreta analizo kaj spurado.
- Aldonita subteno por protokoloj kaj servoj:
- HAProxy
- Apache Ŝparemo
- RMCP (Protokolo pri Malproksima Administra Kontrolo)
- SLP (Serva Loka Protokolo)
- bitcoin
- HTTP/2 sen ĉifrado
- SRTP (Sekura Realtempa Transporto)
- BACnet
- OICQ (ĉina mesaĝisto)
- Aldonita difino de OperaVPN kaj ProtonVPN. Plibonigita Wireguard-detekto.
- Efektivigita heŭristiko por identigi plene ĉifritajn trafikfluojn.
- Aldonita difino de Yandex kaj VK-servoj.
- Aldonita detekto de Facebook-bobenoj kaj rakontoj.
- Aldonita difino de la ludplatformo Roblox, nuba servo NVIDIA GeForceNow, ludoj de Epic Games kaj la ludo "Herooj de la Ŝtormo".
- Plibonigita detekto de trafiko de serĉrotoj.
- Plibonigita analizo kaj identigo de protokoloj kaj servoj:
- gnutella
- H323
- HTTP
- Hanguto
- MS-Teamoj
- alibaba
- MGCP
- vaporo
- MySQL
- Zabbikh
- La gamo de identigitaj retaj minacoj kaj problemoj asociitaj kun la risko de kompromiso (flurisko) estis vastigita. Aldonita subteno por novaj minactipoj: NDPI_MALWARE_HOST_CONTACTED kaj NDPI_TLS_ALPN_SNI_MISMATCH.
- Fuzzing-testado estis organizita por identigi fidindecproblemojn.
- Problemoj kun konstruado sur FreeBSD estis solvitaj.
fonto: opennet.ru