Projekts ntop, kas izstrādā rīkus trafika uztveršanai un analīzei, ir publicējis nDPI 4.8 dziļās pakešu pārbaudes rīku komplekta izlaidumu, kas turpina OpenDPI bibliotēkas attīstību. nDPI projekts tika dibināts pēc neveiksmīga mēģinājuma virzīt izmaiņas OpenDPI repozitorijā, kas palika neapkopta. nDPI kods ir rakstīts C valodā un ir licencēts saskaņā ar LGPLv3.
Sistēma ļauj noteikt trafikā izmantotos lietojumprogrammu līmeņa protokolus, analizējot tīkla darbības raksturu bez piesaistes tīkla portiem (var noteikt labi zināmus protokolus, kuru apstrādātāji pieņem savienojumus nestandarta tīkla portos, piemēram, ja http netiek nosūtīts no 80. porta vai, gluži pretēji, kad viņi mēģina maskēt citu tīkla darbību kā http, palaižot to 80. portā).
Atšķirības no OpenDPI ietver papildu protokolu atbalstu, pārnešanu uz Windows platformu, veiktspējas optimizāciju, pielāgošanu izmantošanai reāllaika satiksmes uzraudzības lietojumprogrammās (tika noņemtas dažas specifiskas funkcijas, kas palēnināja dzinēju), iespēja veidot Linux kodola modulis un atbalsts apakšprotokolu definēšanai.
Atbalsta 53 veidu tīkla apdraudējumu (plūsmas riska) un vairāk nekā 350 protokolu un lietojumprogrammu noteikšanu (no OpenVPN, Tor, QUIC, SOCKS, BitTorrent un IPsec līdz Telegram, Viber, WhatsApp, PostgreSQL un zvanus uz Gmail, Office 365, Google Docs un YouTube). Ir servera un klienta SSL sertifikāta dekodētājs, kas ļauj noteikt protokolu (piemēram, Citrix Online un Apple iCloud), izmantojot šifrēšanas sertifikātu. Tiek piegādāta nDPIreader utilīta, lai analizētu pcap izgāztuvju saturu vai pašreizējo trafiku, izmantojot tīkla interfeisu.
Jaunajā laidienā:
- Atmiņas patēriņš ir samazinājies par lielumu kārtām, pateicoties sarakstu ieviešanas pārstrādei.
- Ir paplašināts IPv6 atbalsts.
- Pievienoti jauni protokola identifikatori, kas saistīti ar pieaugušajiem paredzētu saturu, reklāmu, tīmekļa analīzi un izsekošanu.
- Pievienots atbalsts protokoliem un pakalpojumiem:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 bez šifrēšanas
- SRTP (drošs reāllaika transports)
- BACnet
- OICQ (ķīniešu kurjers)
- Pievienota OperaVPN un ProtonVPN definīcija. Uzlabota Wireguard noteikšana.
- Ieviesta heiristika, lai identificētu pilnībā šifrētas trafika plūsmas.
- Pievienota Yandex un VK pakalpojumu definīcija.
- Pievienota Facebook rullīšu un stāstu noteikšana.
- Pievienota Roblox spēļu platformas, NVIDIA GeForceNow mākoņpakalpojuma, Epic Games spēļu un spēles “Heroes of the Storm” definīcija.
- Uzlabota satiksmes noteikšana no meklēšanas robotiem.
- Uzlabota protokolu un pakalpojumu parsēšana un identifikācija:
- Gnutella
- H323
- HTTP
- Hangout
- MS komandas
- Alibaba
- MGCP
- Tvaiks
- MySQL
- Zabbix
- Ir paplašināts identificēto tīkla draudu un problēmu loks, kas saistīts ar kompromisa risku (plūsmas risks). Pievienots atbalsts jauniem draudu veidiem: NDPI_MALWARE_HOST_CONTACTED un NDPI_TLS_ALPN_SNI_MISMATCH.
- Tika organizēta izplūdes pārbaude, lai noteiktu uzticamības problēmas.
- Problēmas ar izveidi uz FreeBSD ir atrisinātas.
Avots: opennet.ru