Il progetto ntop, che sviluppa strumenti per catturare e analizzare il traffico, ha pubblicato il rilascio del toolkit di ispezione approfondita dei pacchetti nDPI 4.8, che continua lo sviluppo della libreria OpenDPI. Il progetto nDPI è stato fondato dopo un tentativo fallito di inviare modifiche al repository OpenDPI, che non è stato mantenuto. Il codice nDPI è scritto in C ed è concesso in licenza sotto LGPLv3.
Il sistema consente di determinare i protocolli a livello di applicazione utilizzati nel traffico, analizzando la natura dell'attività di rete senza essere vincolati alle porte di rete (può determinare protocolli noti i cui gestori accettano connessioni su porte di rete non standard, ad esempio, se http non viene inviato dalla porta 80 o, al contrario, quando si tenta di camuffare altre attività di rete come http eseguendolo sulla porta 80).
Le differenze rispetto a OpenDPI includono il supporto per protocolli aggiuntivi, il porting sulla piattaforma Windows, l'ottimizzazione delle prestazioni, l'adattamento per l'uso in applicazioni di monitoraggio del traffico in tempo reale (alcune funzionalità specifiche che rallentavano il motore sono state rimosse), la capacità di costruire sotto forma di a Modulo del kernel Linux e supporto per la definizione di sottoprotocolli.
Supporta il rilevamento di 53 tipi di minacce di rete (rischio di flusso) e oltre 350 protocolli e applicazioni (da OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec a Telegram, Viber, WhatsApp, PostgreSQL e chiamate a Gmail, Office 365, Google Docs e YouTube). Esiste un decodificatore di certificati SSL server e client che consente di determinare il protocollo (ad esempio Citrix Online e Apple iCloud) utilizzando il certificato di crittografia. L'utilità nDPIreader viene fornita per analizzare il contenuto dei dump pcap o del traffico corrente tramite l'interfaccia di rete.
Nella nuova versione:
- Il consumo di memoria è stato ridotto di ordini di grandezza, grazie alla rielaborazione dell'implementazione degli elenchi.
- Il supporto IPv6 è stato ampliato.
- Aggiunti nuovi identificatori di protocollo relativi a contenuti per adulti, pubblicità, analisi web e tracciamento.
- Aggiunto supporto per protocolli e servizi:
- HAProxy
- Apache parsimonia
- RMCP (Protocollo di Controllo della Gestione Remota)
- SLP (Protocollo di localizzazione del servizio)
- Bitcoin
- HTTP/2 senza crittografia
- SRTP (trasporto sicuro in tempo reale)
- BACnet
- OICQ (messaggero cinese)
- Aggiunta la definizione di OperaVPN e ProtonVPN. Rilevamento Wireguard migliorato.
- Euristica implementata per identificare i flussi di traffico completamente crittografati.
- Aggiunta la definizione dei servizi Yandex e VK.
- Aggiunto rilevamento di reel e storie di Facebook.
- Aggiunta la definizione della piattaforma di gioco Roblox, del servizio cloud NVIDIA GeForceNow, dei giochi Epic Games e del gioco "Heroes of the Storm".
- Miglioramento del rilevamento del traffico proveniente dai bot di ricerca.
- Analisi e identificazione migliorate di protocolli e servizi:
- Gnutella
- H323
- HTTP
- ritrovo
- MS Team
- Alibaba
- MGCP
- Steam
- MySQL
- Zabbix
- La gamma delle minacce di rete identificate e dei problemi associati al rischio di compromissione (rischio di flusso) è stata ampliata. Aggiunto supporto per nuovi tipi di minaccia: NDPI_MALWARE_HOST_CONTACTED e NDPI_TLS_ALPN_SNI_MISMATCH.
- Sono stati organizzati test fuzzing per identificare problemi di affidabilità.
- I problemi con la creazione su FreeBSD sono stati risolti.
Fonte: opennet.ru