Projek ntop, yang membangunkan alatan untuk menangkap dan menganalisis trafik, telah menerbitkan keluaran kit alat pemeriksaan paket dalam nDPI 4.4, yang meneruskan pembangunan perpustakaan OpenDPI. Projek nDPI diasaskan selepas percubaan yang tidak berjaya untuk menolak perubahan pada repositori OpenDPI, yang tidak diselenggara. Kod nDPI ditulis dalam C dan dilesenkan di bawah LGPLv3.
Sistem ini membolehkan anda menentukan protokol peringkat aplikasi yang digunakan dalam trafik, menganalisis sifat aktiviti rangkaian tanpa terikat dengan port rangkaian (ia boleh menentukan protokol terkenal yang pengendalinya menerima sambungan pada port rangkaian bukan standard, contohnya, jika http tidak dihantar dari port 80, atau, sebaliknya, apabila mereka cuba menyamarkan aktiviti rangkaian lain sebagai http dengan menjalankannya pada port 80).
Perbezaan daripada OpenDPI termasuk sokongan untuk protokol tambahan, pemindahan ke platform Windows, pengoptimuman prestasi, penyesuaian untuk digunakan dalam aplikasi pemantauan trafik masa nyata (beberapa ciri khusus yang memperlahankan enjin telah dialih keluar), keupayaan untuk membina dalam bentuk Modul kernel Linux, dan sokongan untuk mentakrifkan subprotokol .
Secara keseluruhan, takrifan kira-kira 300 protokol dan aplikasi disokong, daripada OpenVPN, Tor, QUIC, SOCKS, BitTorrent dan IPsec kepada Telegram, Viber, WhatsApp, PostgreSQL dan panggilan ke GMail, Office365, GoogleDocs dan YouTube. Terdapat penyahkod sijil SSL pelayan dan pelanggan yang membolehkan anda menentukan protokol (contohnya, Citrix Online dan Apple iCloud) menggunakan sijil penyulitan. Utiliti nDPIreader dibekalkan untuk menganalisis kandungan pembuangan pcap atau trafik semasa melalui antara muka rangkaian.
Dalam keluaran baharu:
- Menambahkan metadata dengan maklumat tentang sebab memanggil pengendali untuk ancaman tertentu.
- Menambahkan fungsi ndpi_check_flow_risk_exceptions() untuk menyambungkan pengendali ancaman rangkaian.
- Satu bahagian telah dibuat kepada protokol rangkaian (contohnya, TLS) dan protokol aplikasi (contohnya, perkhidmatan Google).
- Menambahkan dua tahap privasi baharu: NDPI_CONFIDENCE_DPI_PARTIAL dan NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Templat ditambah untuk mentakrifkan penggunaan perkhidmatan Cloudflare WARP
- Pelaksanaan peta cincang dalaman telah digantikan dengan uthash.
- Ikatan bahasa Python yang dikemas kini.
- Secara lalai, pelaksanaan gcrypt terbina dalam didayakan (pilihan --with-libgcrypt disediakan untuk menggunakan pelaksanaan sistem).
- Julat ancaman rangkaian yang dikenal pasti dan masalah yang berkaitan dengan risiko kompromi (risiko aliran) telah diperluaskan. Menambah sokongan untuk jenis ancaman baharu: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT dan NDPI_ANONYMOUS_SUBSCRIBER.
- Menambah sokongan untuk protokol dan perkhidmatan:
- UltraSurf
- i3D
- permainan rusuhan
- tsan
- VPN Tunnel Bear
- dikumpul
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- Produk GoTo seperti GoToMeeting
- Dazn
- MPEG-DASH
- Rangkaian Masa Nyata Ditakrifkan Perisian Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Penghuraian dan pengesanan protokol yang dipertingkatkan:
- SMTP/SMTPS (sokongan STARTTLS ditambah)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP melalui HTTP
- Kesan Genshin
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- SIFAT
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (menambah sokongan untuk spesifikasi v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Sumber: opennet.ru