ntop-prosjektet, som utvikler verktøy for å fange og analysere trafikk, har publisert utgivelsen av nDPI 4.8 deep packet inspection toolkit, som fortsetter utviklingen av OpenDPI-biblioteket. nDPI-prosjektet ble grunnlagt etter et mislykket forsøk på å presse endringer i OpenDPI-depotet, som ikke ble vedlikeholdt. nDPI-koden er skrevet i C og er lisensiert under LGPLv3.
Systemet lar deg bestemme applikasjonsnivåprotokollene som brukes i trafikken, analysere innholdet av nettverksaktivitet uten å være knyttet til nettverksporter (det kan bestemme velkjente protokoller hvis behandlere aksepterer tilkoblinger på ikke-standard nettverksporter, for eksempel, hvis http ikke sendes fra port 80, eller omvendt, når som De prøver å kamuflere annen nettverksaktivitet som http ved å kjøre den på port 80).
Forskjeller fra OpenDPI inkluderer støtte for tilleggsprotokoller, portering til Windows-plattformen, ytelsesoptimalisering, tilpasning for bruk i sanntids trafikkovervåkingsapplikasjoner (noen spesifikke funksjoner som bremset motoren ble fjernet), muligheten til å bygge i form av en Linux-kjernemodul, og støtte for å definere underprotokoller.
Støtter gjenkjenning av 53 typer nettverkstrusler (flytrisiko) og mer enn 350 protokoller og applikasjoner (fra OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram, Viber, WhatsApp, PostgreSQL og anrop til Gmail, Office 365, Google Docs og YouTube). Det er en server- og klient-SSL-sertifikatdekoder som lar deg bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjelp av krypteringssertifikatet. nDPIreader-verktøyet leveres for å analysere innholdet i pcap-dumper eller gjeldende trafikk via nettverksgrensesnittet.
I den nye utgivelsen:
- Minneforbruket er redusert i størrelsesordener, takket være omarbeiding av implementeringen av lister.
- IPv6-støtte er utvidet.
- Lagt til nye protokollidentifikatorer relatert til voksent innhold, annonsering, nettanalyse og sporing.
- Lagt til støtte for protokoller og tjenester:
- HAProxy
- Apache sparsommelighet
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 uten kryptering
- SRTP (Sikker sanntidstransport)
- BACnet
- OICQ (kinesisk messenger)
- Lagt til definisjon av OperaVPN og ProtonVPN. Forbedret Wireguard-deteksjon.
- Implementert heuristikk for å identifisere fullstendig krypterte trafikkstrømmer.
- Lagt til definisjon av Yandex- og VK-tjenester.
- Lagt til gjenkjenning av Facebook-ruller og historier.
- Lagt til definisjon av Roblox-spillplattformen, NVIDIA GeForceNow-skytjenesten, Epic Games-spill og spillet "Heroes of the Storm".
- Forbedret gjenkjenning av trafikk fra søkeroboter.
- Forbedret parsing og identifikasjon av protokoller og tjenester:
- Gnutella
- H323
- HTTP
- Hangout
- MS-lag
- Alibaba
- MGCP
- Damp
- MySQL
- Zabbix
- Utvalget av identifiserte nettverkstrusler og problemer knyttet til risikoen for kompromiss (flytrisiko) har blitt utvidet. Lagt til støtte for nye trusseltyper: NDPI_MALWARE_HOST_CONTACTED og NDPI_TLS_ALPN_SNI_MISMATCH.
- Fuzzing-testing ble organisert for å identifisere pålitelighetsproblemer.
- Problemer med å bygge på FreeBSD er løst.
Kilde: opennet.ru