Трафикті түсіру және талдау үшін құралдарды әзірлейтін ntop жобасы OpenDPI кітапханасының дамуын жалғастыратын nDPI 4.0 терең пакетті тексеру құралдар жинағының шығарылымын жариялады. nDPI жобасы қолдаусыз қалдырылған OpenDPI репозиторийіне өзгертулерді жіберудің сәтсіз әрекетінен кейін құрылды. nDPI коды C тілінде жазылған және LGPLv3 бойынша лицензияланған.
Жоба желілік порттарға қосылмай, желі әрекетінің сипатын талдай отырып, трафикте қолданылатын қолданбалы деңгейдегі хаттамаларды анықтауға мүмкіндік береді (ол өңдеушілері стандартты емес желілік порттардағы қосылымдарды қабылдайтын белгілі протоколдарды анықтай алады, мысалы, http 80 порттан басқа порттан жіберіледі немесе, керісінше, олар 80 портында іске қосу арқылы басқа желілік әрекетті http ретінде жасыруға тырысады).
OpenDPI-ден айырмашылықтарға қосымша хаттамаларды қолдау, Windows платформасына көшіру, өнімділікті оңтайландыру, нақты уақыттағы трафикті бақылау қолданбаларында қолдануға бейімделу (қозғалтқышты баяулататын кейбір ерекше мүмкіндіктер жойылды), файл түрінде құру мүмкіндігі кіреді. Linux ядросының модулі және ішкі хаттамаларды анықтауға қолдау көрсету .
OpenVPN, Tor, QUIC, SOCKS, BitTorrent және IPsec-тен Telegram, Viber, WhatsApp, PostgreSQL және GMail, Office247 GoogleDocs және YouTube-ке қоңырауларға дейін барлығы 365 протокол мен қолданба анықтамасына қолдау көрсетіледі. Шифрлау сертификатын пайдалана отырып, хаттаманы (мысалы, Citrix Online және Apple iCloud) анықтауға мүмкіндік беретін сервер мен клиенттің SSL сертификатының декодері бар. nDPIreader утилитасы желі интерфейсі арқылы pcap демптерінің немесе ағымдағы трафиктің мазмұнын талдау үшін жеткізіледі.
$ ./nDPIreader -i eth0 -s 20 -f “хост 192.168.1.10” Анықталған хаттамалар: DNS дестелері: 57 байт: 7904 ағындары: 28 SSL_No_Cert пакеттері: 483 байт: flow: 229203 ағындары: 6 байт: flow: 136 ағындары 74702 ағындары: 4 DropBox пакеттері: 9 байт: 668 ағыны: 3 Skype пакеті: 5 байт: 339 ағыны: 3 Google пакеті: 1700 байт: 619135 ағыны: 34
Жаңа шығарылымда:
- Шифрланған трафикті талдау әдістеріне (ETA - шифрланған трафикті талдау) қолдау жақсартылған.
- Жақсартылған JA3+ TLS клиентті сәйкестендіру әдісіне қолдау енгізілді, ол қосылымды келіссөздер мүмкіндіктері мен көрсетілген параметрлер негізінде қосылымды орнату үшін қандай бағдарламалық құрал пайдаланылатынын анықтауға мүмкіндік береді (мысалы, ол Tor пайдалануды анықтауға мүмкіндік береді және басқа типтік қолданбалар). Бұрын қолдау көрсетілетін JA3 әдісінен айырмашылығы, JA3+ жалған позитивтері азырақ.
- Анықталған желілік қауіптер мен ымыраға келу қаупімен байланысты проблемалардың саны (ағындық тәуекел) 33-ке дейін кеңейтілді. Жұмыс үстелі мен файлды ортақ пайдалану, күдікті HTTP трафигі, зиянды JA3 және SHA1 және проблемалық файлдарға қол жеткізуге қатысты жаңа қауіп детекторлары қосылды. домендер мен автономды жүйелер, күдікті кеңейтімдері бар немесе тым ұзақ жарамдылық мерзімі бар TLS сертификаттарын пайдалану.
- Тиімділікті айтарлықтай оңтайландыру жүргізілді, 3.0 тармағымен салыстырғанда трафикті өңдеу жылдамдығы 2.5 есеге артты.
- IP мекенжайы бойынша орынды анықтауға арналған GeoIP қолдауы қосылды.
- RSI (салыстырмалы күш индексі) есептеуге арналған API қосылды.
- Фрагментацияны бақылау жүзеге асырылды.
- Ағынның біркелкілігін есептеуге арналған API қосылды (джиттер).
- Хаттамалар мен қызметтерге қосымша қолдау: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP виртуалды машиналар тобын басқару (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr ( Virtual Ass) Alexa, Siri), Z39.50.
- AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP талдау және анықтау жақсартылған. протоколдар , HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard арқылы RTSP.
Ақпарат көзі: opennet.ru