Liikenteen kaappaamiseen ja analysointiin työkaluja kehittävä ntop-projekti on julkaissut nDPI 4.8 Deep Packet Check Toolkit -julkaisun, joka jatkaa OpenDPI-kirjaston kehittämistä. nDPI-projekti syntyi sen jälkeen, kun OpenDPI-arkistoon yritettiin tehdä muutoksia, jotka jäivät yllättämättä. nDPI-koodi on kirjoitettu C-kielellä ja lisensoitu LGPLv3:lla.
Järjestelmän avulla voit määrittää liikenteessä käytetyt sovellustason protokollat analysoimalla verkkotoiminnan luonnetta olematta sidottu verkkoportteihin (se voi määrittää tunnetut protokollat, joiden käsittelijät hyväksyvät yhteydet epästandardeihin verkkoportteihin, esim. jos http:tä ei lähetetä portista 80, tai päinvastoin, jolloin he yrittävät naamioida muun verkon toiminnan http:llä suorittamalla sen portissa 80).
Erot OpenDPI:stä ovat lisäprotokollien tuki, siirtäminen Windows-alustalle, suorituskyvyn optimointi, mukauttaminen käytettäväksi reaaliaikaisissa liikenteenvalvontasovelluksissa (jotkut moottoria hidastaneet ominaisuudet poistettiin), kyky rakentaa Linux-ydinmoduuli ja tuki aliprotokollien määrittelyyn.
Tukee 53 verkkouhan tyypin (virtausriski) ja yli 350 protokollan ja sovelluksen (OpenVPN, Tor, QUIC, SOCKS, BitTorrent ja IPsecistä Telegramiin, Viberiin, WhatsAppiin, PostgreSQL:iin ja puhelut Gmailiin, Office 365:een ja Google Docsiin) tunnistamista. ja YouTube). Siellä on palvelimen ja asiakkaan SSL-varmenteen dekooderi, jonka avulla voit määrittää protokollan (esimerkiksi Citrix Online ja Apple iCloud) salaussertifikaatin avulla. nDPIreader-apuohjelma toimitetaan analysoimaan pcap-vedosten sisältöä tai nykyistä liikennettä verkkoliitännän kautta.
Uudessa julkaisussa:
- Muistin kulutus on vähentynyt suuruusluokkaa listojen toteutuksen uudistamisen ansiosta.
- IPv6-tukea on laajennettu.
- Lisätty uusia protokollatunnisteita, jotka liittyvät aikuisille suunnattuun sisältöön, mainontaan, verkkoanalytiikkaan ja seurantaan.
- Lisätty tuki protokollille ja palveluille:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 ilman salausta
- SRTP (suojattu reaaliaikainen kuljetus)
- BACnet
- OICQ (kiinalainen sanansaattaja)
- Lisätty OperaVPN:n ja ProtonVPN:n määritelmä. Parannettu Wireguard-tunnistus.
- Toteutettu heuristiikka täysin salattujen liikennevirtojen tunnistamiseksi.
- Lisätty Yandex- ja VK-palvelujen määritelmä.
- Lisätty Facebook-rullien ja tarinoiden tunnistus.
- Lisätty määritelmä Roblox-pelialustalle, NVIDIA GeForceNow -pilvipalvelulle, Epic Games -peleille ja Heroes of the Storm -pelille.
- Parannettu hakubottien liikenteen havaitseminen.
- Parannettu protokollien ja palveluiden jäsentäminen ja tunnistaminen:
- Gnutella
- H323
- HTTP
- Hangout
- MS-joukkueet
- Alibaba
- MGCP
- Höyry
- MySQL
- Zabbix
- Tunnistettujen verkkouhkien ja kompromissiriskiin (virtausriskiin) liittyviä ongelmia on laajennettu. Lisätty tuki uusille uhkatyypeille: NDPI_MALWARE_HOST_CONTACTED ja NDPI_TLS_ALPN_SNI_MISMATCH.
- Luotettavuusongelmien tunnistamiseksi järjestettiin fuzzing-testaus.
- FreeBSD:lle rakentamisen ongelmat on ratkaistu.
Lähde: opennet.ru