Liikenteen kaappaamiseen ja analysointiin työkaluja kehittävä ntop-projekti on julkaissut nDPI 4.4 Deep Packet Check Toolkit -julkaisun, joka jatkaa OpenDPI-kirjaston kehittämistä. nDPI-projekti syntyi sen jälkeen, kun OpenDPI-arkistoon yritettiin tehdä muutoksia, jotka jäivät yllättämättä. nDPI-koodi on kirjoitettu C-kielellä ja lisensoitu LGPLv3:lla.
Järjestelmän avulla voit määrittää liikenteessä käytetyt sovellustason protokollat analysoimalla verkkotoiminnan luonnetta olematta sidottu verkkoportteihin (se voi määrittää tunnetut protokollat, joiden käsittelijät hyväksyvät yhteydet epästandardeihin verkkoportteihin, esim. jos http:tä ei lähetetä portista 80, tai päinvastoin, jolloin he yrittävät naamioida muun verkon toiminnan http:llä suorittamalla sen portissa 80).
Erot OpenDPI:stä ovat lisäprotokollien tuki, siirtäminen Windows-alustalle, suorituskyvyn optimointi, mukauttaminen käytettäväksi reaaliaikaisissa liikenteenvalvontasovelluksissa (jotkut moottoria hidastaneet ominaisuudet poistettiin), kyky rakentaa Linux-ydinmoduuli ja tuki aliprotokollien määrittelyyn.
Yhteensä tuetaan noin 300 protokollan ja sovelluksen määritelmiä OpenVPN:stä, Torista, QUIC:sta, SOCKS:ista, BitTorrentistä ja IPsecistä Telegramiin, Viberiin, WhatsAppiin, PostgreSQL:ään ja puheluihin Gmailiin, Office365:een, GoogleDocsiin ja YouTubeen. Siellä on palvelimen ja asiakkaan SSL-varmenteen dekooderi, jonka avulla voit määrittää protokollan (esimerkiksi Citrix Online ja Apple iCloud) salaussertifikaatin avulla. nDPIreader-apuohjelma toimitetaan analysoimaan pcap-vedosten sisältöä tai nykyistä liikennettä verkkoliitännän kautta.
Uudessa julkaisussa:
- Lisätty metatiedot, jotka sisältävät tietoja siitä, miksi käsittelijälle soitettiin tietyn uhan takia.
- Lisätty ndpi_check_flow_risk_exceptions()-funktio verkon uhkien käsittelijöiden yhdistämiseen.
- Jako on tehty verkkoprotokolliin (esim. TLS) ja sovellusprotokolliin (esim. Google-palvelut).
- Lisätty kaksi uutta tietosuojatasoa: NDPI_CONFIDENCE_DPI_PARTIAL ja NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Lisätty malli Cloudflare WARP -palvelun käytön määrittämiseen
- Sisäinen hashmap-toteutus on korvattu uthashilla.
- Päivitetty Python-kielisidokset.
- Oletusarvoisesti sisäänrakennettu gcrypt-toteutus on käytössä (--with-libgcrypt-vaihtoehto tarjotaan järjestelmätoteutuksen käyttöön).
- Tunnistettujen verkkouhkien ja kompromissiriskiin (virtausriskiin) liittyviä ongelmia on laajennettu. Lisätty tuki uusille uhkatyypeille: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT ja NDPI_ANONYMOUS_SUBSCRIBER.
- Lisätty tuki protokollille ja palveluille:
- UltraSurf
- i3D
- mellakkapelejä
- tsan
- TunnelBear VPN
- kerätty
- PIM (protokollasta riippumaton monilähetys)
- Pragmaattinen yleinen monilähetys (PGM)
- RSH
- GoTo-tuotteet, kuten GoToMeeting
- Dazn
- MPEG-DASH
- Agora Software Defined Real-time Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Parannettu protokollan jäsentäminen ja tunnistus:
- SMTP/SMTPS (STARTTLS-tuki lisätty)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP HTTP:n kautta
- Genshin vaikutus
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (lisätty tuki v2drft 01 -spesifikaatiolle)
- SSDP
- SNMP
- DGA
- AES-NI
Lähde: opennet.ru