Projekt ntop, rozwijający narzędzia do przechwytywania i analizowania ruchu, opublikował wydanie zestawu narzędzi do głębokiej inspekcji pakietów nDPI 4.4, który stanowi kontynuację rozwoju biblioteki OpenDPI. Projekt nDPI powstał po nieudanej próbie wypchnięcia zmian do repozytorium OpenDPI, które pozostało bez opieki. Kod nDPI jest napisany w języku C i jest objęty licencją LGPLv3.
System pozwala określić, jakie protokoły na poziomie aplikacji wykorzystywane są w ruchu, analizując charakter aktywności sieciowej bez konieczności wiązania się z portami sieciowymi (potrafi określić dobrze znane protokoły, których procedury obsługi akceptują połączenia na niestandardowych portach sieciowych, np. jeśli http nie zostanie wysłane z portu 80 lub odwrotnie, kiedy które Próbują zamaskować inną aktywność sieciową jako http, uruchamiając ją na porcie 80).
Różnice w stosunku do OpenDPI obejmują obsługę dodatkowych protokołów, przeniesienie na platformę Windows, optymalizację wydajności, przystosowanie do stosowania w aplikacjach monitorujących ruch w czasie rzeczywistym (usunięto niektóre specyficzne funkcje spowalniające silnik), możliwość budowania w formie Moduł jądra Linux i obsługa definiowania podprotokołów.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
W nowym wydaniu:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Dodano obsługę protokołów i usług:
- Ultrasurf
- i3D
- zamieszki
- tsan
- TunnelBear VPN
- zebrane
- PIM (multiemisja niezależna od protokołu)
- Pragmatyczne ogólne rozsyłanie grupowe (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Dazn
- MPEG-DASH
- Sieć czasu rzeczywistego definiowana programowo Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Wpływ Genshin
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Źródło: opennet.ru