Het ntop-project, dat tools ontwikkelt voor het vastleggen en analyseren van verkeer, heeft de release gepubliceerd van de nDPI 4.4 deep packet inspection toolkit, die de ontwikkeling van de OpenDPI-bibliotheek voortzet. Het nDPI-project werd opgericht na een mislukte poging om wijzigingen door te voeren naar de OpenDPI-repository, die niet werd onderhouden. De nDPI-code is geschreven in C en is gelicentieerd onder LGPLv3.
Met het systeem kunt u de protocollen op applicatieniveau bepalen die in het verkeer worden gebruikt, waarbij u de aard van netwerkactiviteit analyseert zonder gebonden te zijn aan netwerkpoorten (het kan bekende protocollen bepalen waarvan de handlers verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet wordt verzonden vanaf poort 80, of, omgekeerd, wanneer. Ze proberen andere netwerkactiviteiten als http te camoufleren door deze op poort 80 uit te voeren).
Verschillen met OpenDPI zijn onder meer ondersteuning voor aanvullende protocollen, portering naar het Windows-platform, prestatie-optimalisatie, aanpassing voor gebruik in realtime verkeersmonitoringtoepassingen (enkele specifieke functies die de engine vertraagden zijn verwijderd), de mogelijkheid om in de vorm van een Linux-kernelmodule en ondersteuning voor het definiëren van subprotocollen.
In totaal worden definities van ongeveer 300 protocollen en applicaties ondersteund, van OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec tot Telegram, Viber, WhatsApp, PostgreSQL en oproepen naar GMail, Office365, GoogleDocs en YouTube. Er is een server- en client-SSL-certificaatdecoder waarmee u het protocol (bijvoorbeeld Citrix Online en Apple iCloud) kunt bepalen met behulp van het coderingscertificaat. Het hulpprogramma nDPIreader wordt meegeleverd om de inhoud van pcap-dumps of actueel verkeer via de netwerkinterface te analyseren.
In de nieuwe uitgave:
- Metagegevens toegevoegd met informatie over de reden waarom u de handler voor een bepaalde bedreiging belt.
- De functie ndpi_check_flow_risk_exceptions() toegevoegd voor het verbinden van netwerkbedreigingshandlers.
- Er is een verdeling gemaakt in netwerkprotocollen (bijvoorbeeld TLS) en applicatieprotocollen (bijvoorbeeld Google-diensten).
- Twee nieuwe privacyniveaus toegevoegd: NDPI_CONFIDENCE_DPI_PARTIAL en NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Sjabloon toegevoegd om het gebruik van de Cloudflare WARP-service te definiëren
- De interne hashmap-implementatie is vervangen door uthash.
- Bijgewerkte Python-taalbindingen.
- Standaard is de ingebouwde gcrypt-implementatie ingeschakeld (de --with-libgcrypt-optie is beschikbaar om de systeemimplementatie te gebruiken).
- Het scala aan geïdentificeerde netwerkbedreigingen en problemen die verband houden met het risico op compromittering (flowrisico) is uitgebreid. Ondersteuning toegevoegd voor nieuwe typen bedreigingen: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT en NDPI_ANONYMOUS_SUBSCRIBER.
- Ondersteuning toegevoegd voor protocollen en services:
- UltraSurf
- i3D
- Riot Games
- tsan
- TunnelBear VPN
- verzameld
- PIM (Protocol Onafhankelijke Multicast)
- Pragmatische Algemene Multicast (PGM)
- RSH
- GoTo-producten zoals GoToMeeting
- Dazn
- MPEG-DASH
- Agora Softwaregedefinieerd realtime netwerk (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Verbeterde protocolparsering en -detectie:
- SMTP/SMTPS (STARTTLS-ondersteuning toegevoegd)
- OCSP
- TargusDatasnelheid
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin-impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (ondersteuning toegevoegd voor v2drft 01-specificatie)
- SSDP
- SNMP
- DGA
- AES-NI
Bron: opennet.ru