پروژه ntop که ابزارهایی را برای ضبط و تجزیه و تحلیل ترافیک ایجاد می کند، بسته ابزار بازرسی بسته عمیق nDPI 4.4 را منتشر کرده است که توسعه کتابخانه OpenDPI را ادامه می دهد. پروژه nDPI پس از یک تلاش ناموفق برای ایجاد تغییرات در مخزن OpenDPI، که حفظ نشده بود، تأسیس شد. کد nDPI به زبان C نوشته شده است و تحت مجوز LGPLv3 است.
این سیستم به شما امکان میدهد پروتکلهای سطح برنامه مورد استفاده در ترافیک را تعیین کنید، ماهیت فعالیت شبکه را بدون اتصال به پورتهای شبکه تجزیه و تحلیل کنید (مثلاً میتواند پروتکلهای معروفی را تعیین کند که کنترلکنندههای آن اتصالات را روی پورتهای غیر استاندارد شبکه میپذیرند، اگر http از پورت 80 ارسال نشده باشد، یا برعکس، زمانی که آنها سعی می کنند با اجرای آن در پورت 80، فعالیت های دیگر شبکه را به عنوان http استتار کنند.
تفاوتهای OpenDPI شامل پشتیبانی از پروتکلهای اضافی، انتقال به پلتفرم ویندوز، بهینهسازی عملکرد، سازگاری برای استفاده در برنامههای نظارت بر ترافیک در زمان واقعی (برخی ویژگیهای خاص که باعث کند شدن موتور حذف شدند)، توانایی ساخت به شکل ماژول هسته لینوکس و پشتیبانی از تعریف زیرپروتکل ها.
در مجموع، تعاریف حدود 300 پروتکل و برنامه پشتیبانی می شود، از OpenVPN، Tor، QUIC، SOCKS، BitTorrent و IPsec گرفته تا Telegram، Viber، WhatsApp، PostgreSQL و تماس با GMail، Office365، GoogleDocs و YouTube. یک رمزگشای گواهی SSL سرور و مشتری وجود دارد که به شما امکان می دهد با استفاده از گواهی رمزگذاری، پروتکل را تعیین کنید (به عنوان مثال، Citrix Online و Apple iCloud). ابزار nDPIreader برای تجزیه و تحلیل محتویات pcap dump یا ترافیک جاری از طریق رابط شبکه ارائه شده است.
در نسخه جدید:
- ابرداده با اطلاعاتی در مورد دلیل تماس با کنترل کننده برای یک تهدید خاص اضافه شده است.
- تابع ndpi_check_flow_risk_exceptions() برای اتصال کنترلکنندههای تهدید شبکه اضافه شد.
- تقسیمبندی به پروتکلهای شبکه (مثلا TLS) و پروتکلهای کاربردی (مثلاً سرویسهای Google) انجام شده است.
- دو سطح حریم خصوصی جدید اضافه شد: NDPI_CONFIDENCE_DPI_PARTIAL و NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- الگویی برای تعریف استفاده از سرویس Cloudflare WARP اضافه شده است
- پیاده سازی hashmap داخلی با uthash جایگزین شده است.
- پیوندهای زبان پایتون به روز شد.
- به طور پیش فرض، پیاده سازی داخلی gcrypt فعال است (گزینه --with-libgcrypt برای استفاده از پیاده سازی سیستم ارائه شده است).
- دامنه تهدیدات شبکه شناسایی شده و مشکلات مرتبط با خطر سازش (ریسک جریان) گسترش یافته است. پشتیبانی از انواع تهدیدات جدید اضافه شد: NDPI_PUNYCODE_IDN، NDPI_ERROR_CODE_DETECTED، NDPI_HTTP_CRAWLER_BOT و NDPI_ANONYMOUS_SUBSCRIBER.
- پشتیبانی اضافه شده برای پروتکل ها و خدمات:
- UltraSurf
- i3D
- بازی های شورشی
- تسان
- VPN TunnelBear
- جمع شده
- PIM (پروتکل مستقل چندپخشی)
- چندپخشی عمومی عملی (PGM)
- HSR
- محصولات GoTo مانند GoToMeeting
- دزن
- MPEG-DASH
- شبکه بلادرنگ تعریف شده با نرم افزار Agora (SD-RTN)
- توکا بوكا
- VXLAN
- DMNS/LLMNR
- تجزیه و تشخیص پروتکل بهبود یافته:
- SMTP/SMTPS (پشتیبانی STARTTLS اضافه شد)
- OCSP
- TargusDataspeed
- دانلود مستقیم
- DTLS
- TFTP
- SOAP از طریق HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- وایبر
- Xiaomi
- راکنت
- گلوتلا
- Kerberos
- QUIC (پشتیبانی اضافه شده برای مشخصات v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
منبع: opennet.ru