El proyecto ntop, que desarrolla herramientas para capturar y analizar el tráfico, ha publicado el lanzamiento del kit de herramientas de inspección profunda de paquetes nDPI 4.8, que continúa el desarrollo de la biblioteca OpenDPI. El proyecto nDPI se fundó después de un intento fallido de impulsar cambios en el repositorio OpenDPI, que no se mantuvo. El código nDPI está escrito en C y tiene licencia LGPLv3.
El sistema le permite determinar los protocolos a nivel de aplicación utilizados en el tráfico, analizando la naturaleza de la actividad de la red sin estar vinculado a los puertos de la red (puede determinar protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si http no se envía desde el puerto 80, o, por el contrario, cuando intentan camuflar otra actividad de la red como http ejecutándola en el puerto 80).
Las diferencias con OpenDPI incluyen soporte para protocolos adicionales, portabilidad a la plataforma Windows, optimización del rendimiento, adaptación para su uso en aplicaciones de monitoreo de tráfico en tiempo real (se eliminaron algunas características específicas que ralentizaban el motor), la capacidad de construir en forma de Módulo del kernel de Linux y soporte para definir subprotocolos.
Soporta detección de 53 tipos de amenazas de red (riesgo de flujo) y más de 350 protocolos y aplicaciones (desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec hasta Telegram, Viber, WhatsApp, PostgreSQL y llamadas a Gmail, Office 365, Google Docs y Youtube). Hay un decodificador de certificados SSL de servidor y cliente que le permite determinar el protocolo (por ejemplo, Citrix Online y Apple iCloud) utilizando el certificado de cifrado. La utilidad nDPIreader se suministra para analizar el contenido de los volcados de pcap o el tráfico actual a través de la interfaz de red.
En el nuevo lanzamiento:
- El consumo de memoria se ha reducido en órdenes de magnitud, gracias a la reelaboración de la implementación de listas.
- Se ha ampliado la compatibilidad con IPv6.
- Se agregaron nuevos identificadores de protocolo relacionados con contenido para adultos, publicidad, análisis web y seguimiento.
- Soporte agregado para protocolos y servicios:
- HAProxy
- Ahorro apache
- RMCP (Protocolo de control de gestión remota)
- SLP (Protocolo de ubicación de servicio)
- Bitcoin
- HTTP/2 sin cifrado
- SRTP (Transporte seguro en tiempo real)
- BACnet
- OICQ (mensajero chino)
- Se agregó una definición de OperaVPN y ProtonVPN. Detección de Wireguard mejorada.
- Heurística implementada para identificar flujos de tráfico totalmente cifrados.
- Se agregó una definición de los servicios Yandex y VK.
- Se agregó detección de reels e historias de Facebook.
- Se agregó definición de la plataforma de juegos Roblox, el servicio en la nube NVIDIA GeForceNow, los juegos de Epic Games y el juego “Heroes of the Storm”.
- Detección mejorada del tráfico de los robots de búsqueda.
- Análisis e identificación mejorados de protocolos y servicios:
- Gnutella
- H323
- HTTP
- hangout
- Equipos de EM
- Alibaba
- MGCP
- Steam
- MySQL
- Zabbix
- Se ha ampliado la gama de amenazas de red identificadas y problemas asociados con el riesgo de compromiso (riesgo de flujo). Se agregó soporte para nuevos tipos de amenazas: NDPI_MALWARE_HOST_CONTACTED y NDPI_TLS_ALPN_SNI_MISMATCH.
- Se organizaron pruebas de fuzzing para identificar problemas de confiabilidad.
- Se han resuelto los problemas con la construcción en FreeBSD.
Fuente: opennet.ru