A forgalom rögzítésére és elemzésére szolgáló eszközöket fejlesztő ntop projekt közzétette az nDPI 4.4 mély csomagvizsgáló eszközkészlet kiadását, amely az OpenDPI könyvtár fejlesztését folytatja. Az nDPI projektet egy sikertelen kísérlet után hozták létre az OpenDPI repository módosítására, amely karbantartás nélkül maradt. Az nDPI kód C nyelven íródott, és az LGPLv3 licenc alatt van.
A rendszer lehetővé teszi a forgalomban használt alkalmazás szintű protokollok meghatározását, a hálózati tevékenység természetének elemzését anélkül, hogy hálózati portokhoz kötődne (meg tudja határozni azokat a jól ismert protokollokat, amelyek kezelői elfogadják a csatlakozást nem szabványos hálózati portokon pl. ha a http-t nem a 80-as portról küldik, vagy fordítva, amikor a többi hálózati tevékenységet a 80-as porton futtatva próbálják http-ként álcázni).
Az OpenDPI-től való eltérések közé tartozik a további protokollok támogatása, a Windows platformra történő portolás, a teljesítmény optimalizálás, a valós idejű forgalomfigyelő alkalmazásokhoz való adaptálás (néhány speciális funkció, amely lelassította a motort, eltávolítva), az építhetőség Linux kernel modul és alprotokollok meghatározásának támogatása.
Összesen körülbelül 300 protokoll és alkalmazás definíciója támogatott, az OpenVPN-től, Tor-tól, QUIC-tól, SOCKS-tól, BitTorrent-től és IPsec-től a Telegramon, Viberen, WhatsApp-on, PostgreSQL-ig, valamint a Gmail, Office365, GoogleDocs és YouTube hívásaiig. Van egy szerver és kliens SSL-tanúsítvány-dekódoló, amely lehetővé teszi a protokoll meghatározását (például Citrix Online és Apple iCloud) a titkosítási tanúsítvány segítségével. Az nDPIreader segédprogram a pcap kiíratások tartalmának vagy az aktuális forgalom elemzésére szolgál a hálózati interfészen keresztül.
Az új kiadásban:
- Metaadatok hozzáadva egy adott fenyegetés kezelőjének felhívásának okáról.
- Hozzáadtuk az ndpi_check_flow_risk_exceptions() függvényt a hálózati fenyegetéskezelők csatlakoztatásához.
- Felosztásra került a hálózati protokollok (például TLS) és az alkalmazási protokollok (például a Google szolgáltatások).
- Két új adatvédelmi szint hozzáadva: NDPI_CONFIDENCE_DPI_PARTIAL és NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Hozzáadott sablon a Cloudflare WARP szolgáltatás használatának meghatározásához
- A belső hashmap implementációt az uthash váltotta fel.
- Frissített Python nyelvi kötések.
- Alapértelmezés szerint a beépített gcrypt implementáció engedélyezve van (a --with-libgcrypt opció a rendszermegvalósítás használatához biztosított).
- Bővült az azonosított hálózati fenyegetések és a kompromisszum kockázatával (folyamatkockázat) kapcsolatos problémák köre. Új fenyegetéstípusok támogatása hozzáadva: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT és NDPI_ANONYMOUS_SUBSCRIBER.
- Hozzáadott támogatás a protokollokhoz és szolgáltatásokhoz:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- összegyűjtött
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- HSR
- GoTo termékek, például a GoToMeeting
- Dazn
- MPEG-DASH
- Agora Software Defined Real-time Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Továbbfejlesztett protokollelemzés és -észlelés:
- SMTP/SMTPS (STARTTLS támogatás hozzáadva)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SZAPPAN HTTP-n keresztül
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (hozzáadott támogatás a v2drft 01 specifikációhoz)
- SSDP
- SNMP
- DGA
- AES-NI
Forrás: opennet.ru