Trafikoa atzemateko eta aztertzeko tresnak garatzen dituen ntop proiektuak nDPI 4.8 deep package inspection toolkit-aren oharra argitaratu du, OpenDPI liburutegiaren garapenean jarraitzen duena. nDPI proiektua OpenDPI biltegian aldaketak bultzatzeko arrakastarik gabeko saiakera baten ondoren sortu zen, mantendu gabe geratu zena. nDPI kodea C-n idatzita dago eta LGPLv3 lizentziapean dago.
Sistemak trafikoan erabiltzen diren aplikazio-mailako protokoloak zehaztea ahalbidetzen du, sare-jardueraren izaera aztertuz sareko portuetara lotuta egon gabe (protokolo ezagunak zehaztu ditzake zeinen kudeatzaileek sareko portu ez-estandarrak dituzten konexioak onartzen dituzten, adibidez, http ez bada 80 atakatik bidaltzen, edo, alderantziz, sareko beste jarduera bat http gisa kamuflatzen saiatzen ari direnean 80 atakan exekutatuz).
OpenDPI-ren desberdintasunen artean daude protokolo gehigarrietarako laguntza, Windows plataformara garraiatzea, errendimenduaren optimizazioa, denbora errealeko trafikoa kontrolatzeko aplikazioetan erabiltzeko egokitzapena (motorra moteltzen zuten ezaugarri zehatz batzuk kendu ziren), modu batean eraikitzeko gaitasuna. Linux kernel modulua eta azpiprotokoloak definitzeko euskarria.
53 sare-mehatxu mota detektatzen ditu (fluxuaren arriskua) eta 350 protokolo eta aplikazio baino gehiago (OpenVPN, Tor, QUIC, SOCKS, BitTorrent eta IPsec-etik Telegram, Viber, WhatsApp, PostgreSQL eta Gmail, Office 365, Google Docs-era deiak). eta YouTube). Zerbitzari eta bezero SSL ziurtagiri deskodetzaile bat dago, protokoloa (adibidez, Citrix Online eta Apple iCloud) zehaztea ahalbidetzen duen enkriptatutako ziurtagiria erabiliz. nDPIreader erabilgarritasuna sareko interfazearen bidez pcap dump-en edo egungo trafikoaren edukia aztertzeko hornitzen da.
Argitalpen berrian:
- Memoria-kontsumoa magnitude-aginduetan murriztu da, zerrenden ezarpenaren berrazterketari esker.
- IPv6 euskarria zabaldu da.
- Helduentzako edukiarekin, publizitatearekin, web analitikarekin eta jarraipenarekin lotutako protokolo-identifikatzaile berriak gehitu dira.
- Protokolo eta zerbitzuetarako euskarria gehitu da:
- HAProxy
- Apache Thrift
- RMCP (Urrutiko Kudeaketa Kontrolerako Protokoloa)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 zifratu gabe
- SRTP (Secure Real-time Garraioa)
- BACnet
- OICQ (Txinako mezularia)
- OperaVPN eta ProtonVPNren definizioa gehitu da. Wireguard detekzio hobetua.
- Erabat enkriptatutako trafiko-fluxuak identifikatzeko heuristikoak ezarri dira.
- Yandex eta VK zerbitzuen definizioa gehitu da.
- Gehitu da Facebook-eko bobinak eta istorioen detekzioa.
- Roblox joko plataformaren, NVIDIA GeForceNow hodeiko zerbitzuaren, Epic Games jokoen eta "Heroes of the Storm" jokoaren definizioa gehitu da.
- Bilaketa-boten trafikoaren detekzioa hobetu da.
- Protokoloen eta zerbitzuen analisia eta identifikazioa hobetu da:
- gnutella
- H323
- HTTP
- Hangout
- MS Taldeak
- AlibΓ©s
- MGCP
- Lurrun
- MySQL
- Zabbix
- Identifikatutako sareko mehatxuen eta arriskuarekin lotutako arazoen sorta (fluxuaren arriskua) zabaldu da. Mehatxu mota berrientzako laguntza gehitu da: NDPI_MALWARE_HOST_CONTACTED eta NDPI_TLS_ALPN_SNI_MISMATCH.
- Fuzzing probak fidagarritasun arazoak identifikatzeko antolatu ziren.
- FreeBSD-en eraikitzeko arazoak konpondu dira.
Iturria: opennet.ru