O proxecto ntop, que desenvolve ferramentas para capturar e analizar o tráfico, publicou o lanzamento do kit de ferramentas de inspección profunda de paquetes nDPI 4.4, que continúa co desenvolvemento da biblioteca OpenDPI. O proxecto nDPI fundouse despois dun intento infructuoso de impulsar cambios no repositorio de OpenDPI, que quedou sen manter. O código nDPI está escrito en C e ten licenza LGPLv3.
O sistema permítelle determinar os protocolos de nivel de aplicación utilizados no tráfico, analizando a natureza da actividade da rede sen estar ligado a portos de rede (pode determinar protocolos coñecidos cuxos controladores aceptan conexións en portos de rede non estándar, por exemplo, se http non se envía desde o porto 80 ou, pola contra, cando están tentando camuflar outra actividade da rede como http executándoo no porto 80).
As diferenzas con OpenDPI inclúen soporte para protocolos adicionais, portabilidade á plataforma Windows, optimización do rendemento, adaptación para o seu uso en aplicacións de monitorización do tráfico en tempo real (elimináronse algunhas funcións específicas que ralentizaban o motor), a capacidade de construír en forma de Módulo do núcleo de Linux e soporte para definir subprotocolos .
En total, son compatibles definicións de preto de 300 protocolos e aplicacións, desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec ata Telegram, Viber, WhatsApp, PostgreSQL e chamadas a GMail, Office365, GoogleDocs e YouTube. Hai un decodificador de certificado SSL de servidor e cliente que che permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) mediante o certificado de cifrado. A utilidade nDPIreader ofrécese para analizar o contido dos vertedoiros de pcap ou o tráfico actual a través da interface de rede.
Na nova versión:
- Engadíronse metadatos con información sobre o motivo para chamar ao controlador para unha ameaza en particular.
- Engadiuse a función ndpi_check_flow_risk_exceptions() para conectar controladores de ameazas de rede.
- Fíxose unha división en protocolos de rede (por exemplo, TLS) e protocolos de aplicación (por exemplo, servizos de Google).
- Engadíronse dous novos niveis de privacidade: NDPI_CONFIDENCE_DPI_PARTIAL e NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Engadiuse un modelo para definir o uso do servizo WARP de Cloudflare
- A implementación interna do hashmap foi substituída por uthash.
- Ligazóns de linguaxe Python actualizadas.
- De forma predeterminada, a implementación integrada de gcrypt está activada (a opción --with-libgcrypt é proporcionada para usar a implementación do sistema).
- Ampliouse a gama de ameazas e problemas de rede identificados asociados ao risco de compromiso (risco de fluxo). Engadiuse compatibilidade con novos tipos de ameazas: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT e NDPI_ANONYMOUS_SUBSCRIBER.
- Engadido soporte para protocolos e servizos:
- UltraSurf
- i3D
- xogos antidisturbios
- tsan
- TunnelBear VPN
- recollido
- PIM (Protocol Independent Multicast)
- Multicast xeral pragmático (PGM)
- HSR
- Produtos GoTo como GoToMeeting
- Dazn
- MPEG-DASH
- Rede en tempo real definida por software Agora (SD-RTN)
- Toque a boca
- VXLAN
- DMNS/LLMNR
- Análise e detección de protocolos melloradas:
- SMTP/SMTPS (soporte STARTTLS engadido)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP vía HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (soporte adicional para a especificación v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Fonte: opennet.ru