A forgalom rögzítésére és elemzésére szolgáló eszközöket fejlesztő ntop projekt közzétette az nDPI 4.8 mély csomagvizsgáló eszközkészlet kiadását, amely az OpenDPI könyvtár fejlesztését folytatja. Az nDPI projektet egy sikertelen kísérlet után hozták létre az OpenDPI repository módosítására, amely karbantartás nélkül maradt. Az nDPI kód C nyelven íródott, és az LGPLv3 licenc alatt van.
A rendszer lehetővé teszi a forgalomban használt alkalmazás szintű protokollok meghatározását, a hálózati tevékenység természetének elemzését anélkül, hogy hálózati portokhoz kötődne (meg tudja határozni azokat a jól ismert protokollokat, amelyek kezelői elfogadják a csatlakozást nem szabványos hálózati portokon pl. ha a http-t nem a 80-as portról küldik, vagy fordítva, amikor a többi hálózati tevékenységet a 80-as porton futtatva próbálják http-ként álcázni).
Az OpenDPI-től való eltérések közé tartozik a további protokollok támogatása, a Windows platformra történő portolás, a teljesítmény optimalizálás, a valós idejű forgalomfigyelő alkalmazásokhoz való adaptálás (néhány speciális funkció, amely lelassította a motort, eltávolítva), az építhetőség Linux kernel modul és alprotokollok meghatározásának támogatása.
Támogatja 53 típusú hálózati fenyegetés észlelését (áramlási kockázat) és több mint 350 protokollt és alkalmazást (az OpenVPN, Tor, QUIC, SOCKS, BitTorrent és IPsec-től a Telegram-ig, Viber-ig, WhatsApp-ig, PostgreSQL-ig, valamint a Gmail, Office 365, Google Docs hívásokig) és a YouTube). Van egy szerver és kliens SSL-tanúsítvány-dekódoló, amely lehetővé teszi a protokoll meghatározását (például Citrix Online és Apple iCloud) a titkosítási tanúsítvány segítségével. Az nDPIreader segédprogram a pcap kiíratások tartalmának vagy az aktuális forgalom elemzésére szolgál a hálózati interfészen keresztül.
Az új kiadásban:
- A memóriafelhasználás nagyságrendekkel csökkent, köszönhetően a listák megvalósításának átdolgozásának.
- Az IPv6 támogatása kibővült.
- Új protokollazonosítók hozzáadva a felnőtteknek szóló tartalomhoz, a hirdetésekhez, a webes elemzésekhez és a nyomon követéshez.
- Hozzáadott támogatás a protokollokhoz és szolgáltatásokhoz:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 titkosítás nélkül
- SRTP (biztonságos valós idejű szállítás)
- BACnet
- OICQ (kínai hírnök)
- Az OperaVPN és a ProtonVPN meghatározása hozzáadva. Továbbfejlesztett Wireguard észlelés.
- Bevezetett heurisztika a teljesen titkosított forgalom azonosítására.
- A Yandex és a VK szolgáltatások meghatározása hozzáadva.
- Hozzáadott Facebook tekercsek és történetek észlelése.
- A Roblox játékplatform, az NVIDIA GeForceNow felhőszolgáltatás, az Epic Games játékok és a „Heroes of the Storm” játék meghatározása hozzáadva.
- A keresőrobotokból származó forgalom jobb észlelése.
- A protokollok és szolgáltatások továbbfejlesztett elemzése és azonosítása:
- Gnutella
- H323
- HTTP
- zsiványtanya
- MS csapatok
- Alibaba
- MGCP
- Gőz
- MySQL
- Zabbix
- Bővült az azonosított hálózati fenyegetések és a kompromisszum kockázatával (folyamatkockázat) kapcsolatos problémák köre. Új fenyegetéstípusok támogatása hozzáadva: NDPI_MALWARE_HOST_CONTACTED és NDPI_TLS_ALPN_SNI_MISMATCH.
- Fuzzing tesztelést szerveztek a megbízhatósági problémák azonosítására.
- A FreeBSD-re építéssel kapcsolatos problémák megoldódtak.
Forrás: opennet.ru