Le projet ntop, qui développe des outils de capture et d'analyse du trafic, a publié la version de la boîte à outils d'inspection approfondie des paquets nDPI 4.4, qui poursuit le développement de la bibliothèque OpenDPI. Le projet nDPI a été fondé après une tentative infructueuse de pousser les modifications vers le référentiel OpenDPI, qui n'a pas été maintenu. Le code nDPI est écrit en C et est sous licence LGPLv3.
Le système vous permet de déterminer les protocoles au niveau de l'application utilisés dans le trafic, en analysant la nature de l'activité du réseau sans être lié aux ports réseau (il peut déterminer des protocoles bien connus dont les gestionnaires acceptent les connexions sur des ports réseau non standard, par exemple, si http n'est pas envoyé depuis le port 80, ou, à l'inverse, quand ils tentent de camoufler d'autres activités réseau en http en l'exécutant sur le port 80).
Les différences par rapport à OpenDPI incluent la prise en charge de protocoles supplémentaires, le portage sur la plate-forme Windows, l'optimisation des performances, l'adaptation pour une utilisation dans des applications de surveillance du trafic en temps réel (certaines fonctionnalités spécifiques qui ralentissaient le moteur ont été supprimées), la possibilité de construire sous la forme d'un Module du noyau Linux et prise en charge de la définition de sous-protocoles.
Au total, les définitions d'environ 300 protocoles et applications sont prises en charge, depuis OpenVPN, Tor, QUIC, SOCKS, BitTorrent et IPsec jusqu'à Telegram, Viber, WhatsApp, PostgreSQL et les appels vers GMail, Office365, GoogleDocs et YouTube. Il existe un décodeur de certificat SSL serveur et client qui vous permet de déterminer le protocole (par exemple, Citrix Online et Apple iCloud) à l'aide du certificat de cryptage. L'utilitaire nDPIreader est fourni pour analyser le contenu des dumps pcap ou le trafic actuel via l'interface réseau.
Dans la nouvelle version :
- Ajout de métadonnées contenant des informations sur la raison de l'appel du gestionnaire pour une menace particulière.
- Ajout de la fonction ndpi_check_flow_risk_exceptions() pour connecter les gestionnaires de menaces réseau.
- Une division a été faite entre protocoles réseau (par exemple, TLS) et protocoles d'application (par exemple, services Google).
- Ajout de deux nouveaux niveaux de confidentialité : NDPI_CONFIDENCE_DPI_PARTIAL et NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Modèle ajouté pour définir l'utilisation du service Cloudflare WARP
- L'implémentation interne du hashmap a été remplacée par uthash.
- Liaisons du langage Python mises à jour.
- Par défaut, l'implémentation gcrypt intégrée est activée (l'option --with-libgcrypt est fournie pour utiliser l'implémentation système).
- L'éventail des menaces réseau identifiées et des problèmes associés au risque de compromission (risque de flux) a été élargi. Ajout de la prise en charge de nouveaux types de menaces : NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT et NDPI_ANONYMOUS_SUBSCRIBER.
- Ajout de la prise en charge des protocoles et des services :
- UltraSurf
- i3D
- Riot Games
- tsan
- TunnelBear VPN
- collecté
- PIM (multidiffusion indépendante du protocole)
- Multidiffusion générale pragmatique (PGM)
- RSH
- Produits GoTo tels que GoToMeeting
- Dazn
- MPEG-DASH
- Réseau en temps réel défini par logiciel Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Analyse et détection de protocole améliorées :
- SMTP/SMTPS (prise en charge STARTTLS ajoutée)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SAVON via HTTP
- Impact Genshin
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutelle
- Kerberos
- QUIC (ajout de la prise en charge de la spécification v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Source: opennet.ru