O proxecto ntop, que desenvolve ferramentas para capturar e analizar o tráfico, publicou o lanzamento do kit de ferramentas de inspección profunda de paquetes nDPI 4.8, que continúa co desenvolvemento da biblioteca OpenDPI. O proxecto nDPI fundouse despois dun intento infructuoso de impulsar cambios no repositorio de OpenDPI, que quedou sen manter. O código nDPI está escrito en C e ten licenza LGPLv3.
O sistema permítelle determinar os protocolos de nivel de aplicación utilizados no tráfico, analizando a natureza da actividade da rede sen estar ligado a portos de rede (pode determinar protocolos coñecidos cuxos controladores aceptan conexións en portos de rede non estándar, por exemplo, se http non se envía desde o porto 80 ou, pola contra, cando están tentando camuflar outra actividade da rede como http executándoo no porto 80).
As diferenzas con OpenDPI inclúen soporte para protocolos adicionais, portabilidade á plataforma Windows, optimización do rendemento, adaptación para o seu uso en aplicacións de monitorización do tráfico en tempo real (elimináronse algunhas funcións específicas que ralentizaban o motor), a capacidade de construír en forma de Módulo do núcleo de Linux e soporte para definir subprotocolos .
Поддерживается определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
Na nova versión:
- На порядки снижено потребление памяти, благодаря переработке реализации списков.
- Расширена поддержка IPv6.
- Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.
- Engadido soporte para protocolos e servizos:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 без шифрования
- SRTP (Secure Real-time Transport)
- BACnet
- OICQ (китайский мессенджер)
- Добавлено определение OperaVPN и ProtonVPN. Улучшено определение Wireguard.
- Реализована эвристика для выявления полностью шифрованных потоков трафика.
- Добавлено определение серивисов Yandex и VK.
- Добавлено определение рилсов и сторис Facebook.
- Добавлено определение игровой платформы Roblox, облачного сервиса NVIDIA GeForceNow, игр компании Epic Games, игры «Heroes of the Storm».
- Улучшено определение трафика от поисковых ботов.
- Улучшен разбор и определение протоколов и сервисов:
- gnutella
- H323
- HTTP
- Pasa-lo tempo
- Equipos de MS
- Alibaba
- MGCP
- Vapor
- MySQL
- Zabbix
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_MALWARE_HOST_CONTACTED и NDPI_TLS_ALPN_SNI_MISMATCH.
- Организовано fuzzing-тестирование для выявление проблем с надёжностью.
- Solucionáronse problemas de compilación en FreeBSD.
Fonte: opennet.ru