Projektas ntop, kuriame kuriami srauto fiksavimo ir analizės įrankiai, paskelbė nDPI 4.4 gilaus paketų tikrinimo įrankių rinkinio leidimą, kuris tęsia OpenDPI bibliotekos kūrimą. nDPI projektas buvo įkurtas po nesėkmingo bandymo pakeisti OpenDPI saugyklą, kuri liko neprižiūrima. nDPI kodas parašytas C ir yra licencijuotas pagal LGPLv3.
Sistema leidžia nustatyti sraute naudojamus taikomosios programos lygio protokolus, analizuojant tinklo veiklos pobūdį neprisijungus prie tinklo prievadų (gali nustatyti gerai žinomus protokolus, kurių tvarkytojai priima ryšius su nestandartiniais tinklo prievadais, pvz., jei http nėra siunčiama iš 80 prievado arba, atvirkščiai, kai jie bando užmaskuoti kitą tinklo veiklą kaip http, paleisdami ją 80 prievadu).
Skirtumai nuo OpenDPI apima papildomų protokolų palaikymą, perkėlimą į „Windows“ platformą, našumo optimizavimą, pritaikymą naudoti srauto stebėjimo realiuoju laiku programose (buvo pašalintos kai kurios specifinės funkcijos, kurios sulėtino variklį), galimybė kurti Linux branduolio modulis ir subprotokolų apibrėžimo palaikymas.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
Naujame leidime:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Pridėtas protokolų ir paslaugų palaikymas:
- „UltraSurf“
- i3D
- riaušių žaidimai
- tsan
- TunnelBear VPN
- surinkti
- PIM (Protocol Independent Multicast)
- Pragmatinė bendroji daugialypė transliacija (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Dazn
- MPEG-DASH
- „Agora“ programinės įrangos apibrėžtas realaus laiko tinklas (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- „Usenet“
- DTLS
- TFSP
- SOAP via HTTP
- Genšino poveikis
- IPSec/ISAKMP
- DNS
- sistemos dienoraštis
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Šaltinis: opennet.ru