Terv ntop, forgalom rögzítésére és elemzésére szolgáló eszközök fejlesztése, közzétett eszközök kiadása a csomagolás mélyreható vizsgálatához nDPI 3.0, a könyvtár fejlesztésének folytatása OpenDPI. Az nDPI projekt egy sikertelen változtatási kísérlet után jött létre adattár OpenDPI, amely kísérő nélkül maradt. Az nDPI kódot C és betűkkel írjuk forgalmazza LGPLv3 licenccel.
Terv lehetővé teszi meghatározza a forgalomban használt alkalmazásszintű protokollokat, elemezve a hálózati tevékenység természetét anélkül, hogy hálózati portokhoz kötődne (azonosítani tudja azokat a jól ismert protokollokat, amelyek kezelői nem szabványos hálózati portokon fogadják el a kapcsolatokat, pl. ha a http nem érkezik 80-as porton, vagy fordítva, amikor egyesek megpróbálnak más hálózati tevékenységet http-ként álcázni a 80-as porton futtatva).
Az OpenDPI-től való eltérések a további protokollok támogatásában, a Windows platformon való portolásban, a teljesítményoptimalizálásban, a forgalom valós idejű megfigyelésére szolgáló alkalmazásokhoz való adaptálásban rejlenek (néhány speciális funkció, amely lelassította a motort, eltávolítva),
összeállítási képességek Linux kernel modul formájában és alprotokollok meghatározásának támogatása.
Összesen 238 protokoll- és alkalmazásdefiníció támogatott
OpenVPN, Tor, QUIC, SOCKS, BitTorrent és IPsec a Telegramhoz,
Viber, WhatsApp, PostgreSQL és a Gmail, Office365 hívásai
GoogleDocs és YouTube. Van egy szerver és kliens SSL-tanúsítvány-dekódoló, amely lehetővé teszi a protokoll meghatározását (például Citrix Online és Apple iCloud) a titkosítási tanúsítvány segítségével. Az nDPIreader segédprogram a pcap kiíratások tartalmának vagy az aktuális forgalom elemzésére szolgál a hálózati interfészen keresztül.
A protokollra vonatkozó információk mostantól azonnal megjelennek a definíció után, anélkül, hogy megvárnák a teljes metaadat beérkezését (még akkor is, ha az egyes mezők még nem kerültek elemzésre a megfelelő hálózati csomagok fogadásának sikertelensége miatt), ami fontos a forgalomelemzők számára, amelyeknek azonnal reagálni bizonyos típusú forgalomra. Azon alkalmazások esetében, amelyek teljes protokollbontást igényelnek, az ndpi_extra_dissection_possible() API biztosítja, hogy minden protokoll-metaadat meg legyen határozva.
A TLS mélyebb elemzése, a tanúsítvány helyességére és a tanúsítvány SHA-1 hash-ére vonatkozó információk kinyerése.
A "-C" jelző bekerült az nDPIreader alkalmazásba CSV formátumú exportálás céljából, ami lehetővé teszi a kiegészítő ntop eszközkészlet használatát végre meglehetősen összetett statisztikai minták. Például annak a felhasználónak az IP-címének meghatározásához, aki a leghosszabb ideig nézett filmeket a NetFlixen:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "válasszon src_ip,SUM(src2dst_bytes+dst2src_bytes) a /tmp/netflix.csv fájlból, ahol az ndpi_proto, mint a '%NetFlix%', az src_ip szerint csoportosítja
192.168.1.7,6151821
Hozzáadott támogatást a javasolthoz Cisco Joyberendezés a titkosított forgalomban rejtett rosszindulatú tevékenységek azonosítása csomagméret és küldési idő/latencia elemzés segítségével. Az ndpiReaderben a módszert a „-J” opció aktiválja.
A protokollok kategóriákba sorolása biztosított.
Támogatás hozzáadva az IAT (Inter-Arrival Time) kiszámításához a protokollhasználat anomáliáinak azonosításához, például a protokoll DoS támadások során történő használatának azonosításához.
Hozzáadott adatelemzési képességek olyan kiszámított mérőszámok alapján, mint az entrópia, átlag, szórás és variancia.
Javasolták a Python nyelv kötéseinek kezdeti verzióját.
Egy mód hozzáadva a forgalom olvasható karakterláncainak észleléséhez az adatszivárgások észleléséhez. BAN BEN
Az ndpiReader mód a „-e” opcióval engedélyezett.
Támogatás hozzáadva a TLS kliens azonosítási módszerhez JA3, amely lehetővé teszi a kapcsolatkoordináció jellemzői és a megadott paraméterek alapján annak meghatározását, hogy melyik szoftvert használják a kapcsolat létrehozásához (például lehetővé teszi a Tor és más szabványos alkalmazások használatának meghatározását).
Támogatás hozzáadva az SSH implementációk azonosítására szolgáló módszerekhez (HASSH) és a DHCP.
Hozzáadott funkciók az adatok sorosításához és deszerializálásához
Type-Length-Value (TLV) és JSON formátumok.
Hozzáadott protokollok és szolgáltatások támogatása: DTLS (TLS over UDP),
hulu,
TikTok/Musical.ly,
WhatsApp videó,
DNSoverHTTPS
Adatmentő
Vonal,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us.
Továbbfejlesztett támogatás a TLS, SIP, STUN elemzésekhez,
viber,
WhatsApp,
Amazon videó,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger és Hangout.