שחרור מערכת בדיקת מנות עמוקה nDPI 4.8

פרויקט ntop, המפתח כלים ללכידת וניתוח תעבורה, פרסם את שחרורו של ערכת הכלים לבדיקת מנות עמוקה nDPI 4.8, אשר ממשיכה בפיתוח ספריית OpenDPI. פרויקט nDPI הוקם לאחר ניסיון לא מוצלח לדחוף שינויים במאגר OpenDPI, שנותר ללא תחזוקה. קוד nDPI כתוב ב-C והוא מורשה תחת LGPLv3.

המערכת מאפשרת לך לקבוע את הפרוטוקולים ברמת היישום המשמשים בתעבורה, לנתח את אופי פעילות הרשת מבלי להיות קשורה ליציאות רשת (היא יכולה לקבוע פרוטוקולים ידועים שהמטפלים שלהם מקבלים חיבורים ביציאות רשת לא סטנדרטיות, למשל, אם http לא נשלח מיציאה 80, או להיפך, כאשר הם מנסים להסוות פעילות רשת אחרת כ-http על ידי הפעלתה על יציאה 80).

ההבדלים מ-OpenDPI כוללים תמיכה בפרוטוקולים נוספים, העברה לפלטפורמת Windows, אופטימיזציה של ביצועים, התאמה לשימוש ביישומי ניטור תעבורה בזמן אמת (הוסרו כמה תכונות ספציפיות שהאטו את המנוע), יכולת לבנות בצורה של מודול ליבת לינוקס, ותמיכה בהגדרת תת-פרוטוקולים.

תומך בזיהוי של 53 סוגים של איומי רשת (סיכון זרימה) ויותר מ-350 פרוטוקולים ויישומים (מ-OpenVPN, Tor, QUIC, SOCKS, BitTorrent ו-IPsec ועד לטלגרם, Viber, WhatsApp, PostgreSQL ושיחות ל-Gmail, Office 365, Google Docs ויוטיוב). קיים מפענח אישור SSL של שרת ולקוח המאפשר לקבוע את הפרוטוקול (לדוגמה, Citrix Online ו- Apple iCloud) באמצעות תעודת ההצפנה. תוכנית השירות nDPIreader מסופקת כדי לנתח את תוכן ה-pcap dumps או תעבורה נוכחית דרך ממשק הרשת.

במהדורה החדשה:

• צריכת הזיכרון צומצמה בסדרי גודל, הודות לעיבוד מחדש של יישום הרשימות.
• התמיכה ב-IPv6 הורחבה.
• נוספו מזהי פרוטוקול חדשים הקשורים לתוכן למבוגרים, פרסום, ניתוח אינטרנט ומעקב.
• נוספה תמיכה לפרוטוקולים ושירותים:
  • HAProxy
  • חסכון של אפאצ'י
  • RMCP (פרוטוקול בקרת ניהול מרחוק)
  • SLP (Protocol Service Location)
  • ביטקוין
  • HTTP/2 ללא הצפנה
  • SRTP (תחבורה מאובטחת בזמן אמת)
  • BACnet
  • OICQ (שליח סיני)
• נוספה הגדרה של OperaVPN ו- ProtonVPN. זיהוי Wireguard משופר.
• הטמעה היוריסטיות לזיהוי זרימות תעבורה מוצפנות במלואן.
• נוספה הגדרה של שירותי Yandex ו-VK.
• נוסף זיהוי של סלילים וסיפורים של פייסבוק.
• נוספה הגדרה של פלטפורמת המשחקים Roblox, שירות הענן NVIDIA GeForceNow, משחקי Epic Games והמשחק "Heroes of the Storm".
• זיהוי משופר של תנועה מבוטי חיפוש.
• ניתוח וזיהוי משופרים של פרוטוקולים ושירותים:
  • Gnutella
  • H323
  • HTTP
  • Hangout
  • צוותי MS
  • Alibaba
  • MGCP
  • קִיטוֹר
  • MySQL
  • זאביקס
• מגוון האיומים והבעיות ברשת שזוהו הקשורים לסיכון של פשרה (סיכון זרימה) הורחב. נוספה תמיכה עבור סוגי איומים חדשים: NDPI_MALWARE_HOST_CONTACTED ו-NDPI_TLS_ALPN_SNI_MISMATCH.
• בדיקות מטושטשות אורגנו כדי לזהות בעיות מהימנות.
• בעיות בבנייה על FreeBSD נפתרו.

מקור: OpenNet.ru