ProHoster > Blog > noticias de internet > Lanzamiento del sistema de inspección profunda de paquetes nDPI 5.0

Lanzamiento del sistema de inspección profunda de paquetes nDPI 5.0

El proyecto ntop, que desarrolla herramientas para capturar y analizar el tráfico, ha publicado un conjunto de herramientas para la inspección profunda de paquetes nDPI 5.0, que continúa el desarrollo de la biblioteca OpenDPI. El proyecto nDPI se fundó después de un intento fallido de impulsar cambios en el repositorio OpenDPI, que no se mantuvo. El código nDPI está escrito en C y tiene licencia LGPLv3.

El sistema le permite determinar los protocolos a nivel de aplicación utilizados en el tráfico, analizando la naturaleza de la actividad de la red sin estar vinculado a los puertos de la red (puede determinar protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si http no se envía desde el puerto 80, o, por el contrario, cuando intentan camuflar otra actividad de la red como http ejecutándola en el puerto 80).

Las diferencias con OpenDPI radican en la compatibilidad con protocolos adicionales y la adaptación a la plataforma. Windowsoptimizaciones de rendimiento, adaptación para su uso en aplicaciones de monitorización de tráfico en tiempo real (eliminando algunas características específicas que ralentizaban el motor) y la capacidad de compilarse como un módulo del kernel. Linux y apoyo para la definición de subprotocolos.

Admite la detección de 56 tipos de amenazas de red (riesgo de flujo) y más de 450 protocolos y aplicaciones (desde OpenVPN(Tor, QUIC, SOCKS, BitTorrent e IPsec a Telegram, Viber, WhatsApp, PostgreSQL y solicitudes a Gmail, Office 365, Google Docs y YouTube). Hay un decodificador para servidor y cliente. Certificados SSL, que permite identificar un protocolo (por ejemplo, Citrix Online y Apple iCloud) mediante un certificado de cifrado. La utilidad nDPIreader permite analizar el contenido de los volcados de pcap o el tráfico actual de la interfaz de red.

En el nuevo lanzamiento:

  • Se ha implementado un mecanismo universal de identificación de tráfico que combina metadatos sobre huellas digitales TCP, hashes de certificados TLS y JA4 (identificadores para identificar protocolos y aplicaciones de red) en un único marcador de tráfico (huella digital). Este nuevo mecanismo permite una identificación y comparación más precisas del tráfico cifrado u ofuscado.
  • Hemos añadido la capacidad de detectar flujos TLS, QUIC y HTTP que contienen nombres de host (por ejemplo, en el SNI para TLS/QUIC y en la cabecera Host para HTTP) que no se resolvían previamente mediante DNS. Esta función permite identificar anomalías, canales de transmisión de datos ocultos y métodos de elusión de filtros.
  • El límite de protocolos y categorías de tráfico detectables se ha incrementado a 2^16, lo que permite la detección de un número prácticamente ilimitado de protocolos durante la inspección del tráfico. Todos los protocolos disponibles están habilitados de forma predeterminada.
  • Se han añadido nuevas opciones a las reglas para clasificar el tráfico por huellas digitales, identificadores de aplicación y protocolo JA4, URL HTTP y categorías.
  • Se ha mejorado la compatibilidad con la tecnología FPC (Clasificación del Primer Paquete), que identifica protocolos, aplicaciones y servicios basándose en el primer paquete enviado al establecer una conexión. FPC reduce significativamente la carga de la CPU durante la inspección del tráfico.
  • Se eliminó el soporte para pseudoprotocolos como ADULT_CONTENT, LLM y ADS_ANALYTICS_TRACK, que ahora se reemplazan por una clasificación basada en categorías.
  • Se ha añadido compatibilidad y análisis para nuevos protocolos, incluidos Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN y Akamai.
  • Se han añadido nuevas subcategorías y se ha ampliado la clasificación de los servicios de Amazon/AWS.
  • Se han añadido unas 30 categorías nuevas y se ha aumentado el nivel de detalle en el análisis del tráfico.
  • Se ha añadido un analizador del tamaño de los bloques de datos para las conexiones TLS.
  • Se ha añadido la capacidad de crear pilas de protocolos que abarquen dos o más protocolos al clasificar el tráfico.
  • Se han añadido nuevas API para la clasificación del tráfico y la codificación/decodificación de secuencias hexadecimales.
  • Listados actualizados de bots, escáneres de red y pools de minería.
  • Código actualizado para el análisis de los protocolos HTTP, TLS y STUN.
  • Se ha acelerado la inicialización y se ha mejorado la eficiencia de la gestión de la memoria.

Fuente: opennet.ru

Compre alojamiento confiable para sitios con protección DDoS, servidores VPS VDS 🔥 Compra alojamiento web fiable con protección DDoS, servidores VPS VDS | ProHoster