El proyecto ntop, que desarrolla herramientas para capturar y analizar el tráfico, ha publicado el lanzamiento del kit de herramientas de inspección profunda de paquetes nDPI 4.4, que continúa el desarrollo de la biblioteca OpenDPI. El proyecto nDPI se fundó después de un intento fallido de impulsar cambios en el repositorio OpenDPI, que no se mantuvo. El código nDPI está escrito en C y tiene licencia LGPLv3.
El sistema le permite determinar los protocolos a nivel de aplicación utilizados en el tráfico, analizando la naturaleza de la actividad de la red sin estar vinculado a los puertos de la red (puede determinar protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si http no se envía desde el puerto 80, o, por el contrario, cuando intentan camuflar otra actividad de la red como http ejecutándola en el puerto 80).
Las diferencias con OpenDPI incluyen soporte para protocolos adicionales, portabilidad a la plataforma Windows, optimización del rendimiento, adaptación para su uso en aplicaciones de monitoreo de tráfico en tiempo real (se eliminaron algunas características específicas que ralentizaban el motor), la capacidad de construir en forma de Módulo del kernel de Linux y soporte para definir subprotocolos.
En total, se admiten definiciones de unos 300 protocolos y aplicaciones, desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec hasta Telegram, Viber, WhatsApp, PostgreSQL y llamadas a GMail, Office365, GoogleDocs y YouTube. Hay un decodificador de certificados SSL de servidor y cliente que le permite determinar el protocolo (por ejemplo, Citrix Online y Apple iCloud) utilizando el certificado de cifrado. La utilidad nDPIreader se suministra para analizar el contenido de los volcados de pcap o el tráfico actual a través de la interfaz de red.
En el nuevo lanzamiento:
- Se agregaron metadatos con información sobre el motivo de llamar al controlador para una amenaza en particular.
- Se agregó la función ndpi_check_flow_risk_exceptions() para conectar controladores de amenazas de red.
- Se ha dividido en protocolos de red (por ejemplo, TLS) y protocolos de aplicación (por ejemplo, servicios de Google).
- Se agregaron dos nuevos niveles de privacidad: NDPI_CONFIDENCE_DPI_PARTIAL y NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Plantilla agregada para definir el uso del servicio WARP de Cloudflare
- La implementación interna de hashmap ha sido reemplazada por uthash.
- Enlaces de lenguaje Python actualizados.
- De forma predeterminada, la implementación integrada de gcrypt está habilitada (la opción --with-libgcrypt se proporciona para usar la implementación del sistema).
- Se ha ampliado la gama de amenazas de red identificadas y problemas asociados con el riesgo de compromiso (riesgo de flujo). Se agregó soporte para nuevos tipos de amenazas: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT y NDPI_ANONYMOUS_SUBSCRIBER.
- Soporte agregado para protocolos y servicios:
- UltraSurf
- i3D
- Juegos antidisturbios
- TSAN
- TunnelBear VPN
- recogido
- PIM (protocolo de multidifusión independiente)
- Multidifusión general pragmática (PGM)
- RSH
- Productos GoTo como GoToMeeting
- Dazn
- MPEG-DASH
- Red en tiempo real definida por software Agora (SD-RTN)
- Toca Boca
- VXLAN
- MDNS/LLMNR
- Análisis y detección de protocolos mejorados:
- SMTP/SMTPS (se agregó soporte STARTTLS)
- OCSP
- Velocidad de datos de Targus
- Usenet
- DTLS
- TFTP
- JABÓN vía HTTP
- Impacto Genshin
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber/Whatspp
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (soporte agregado para la especificación v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Fuente: opennet.ru