O projeto ntop, que desenvolve ferramentas para captura e análise de tráfego, publicou o lançamento do kit de ferramentas de inspeção profunda de pacotes nDPI 4.4, que dá continuidade ao desenvolvimento da biblioteca OpenDPI. O projeto nDPI foi fundado após uma tentativa malsucedida de enviar alterações ao repositório OpenDPI, que não foi mantido. O código nDPI é escrito em C e licenciado sob LGPLv3.
O sistema permite determinar os protocolos de nível de aplicação usados no tráfego, analisando a natureza da atividade da rede sem estar vinculado às portas da rede (pode determinar protocolos conhecidos cujos manipuladores aceitam conexões em portas de rede não padrão, por exemplo, se o http não for enviado da porta 80 ou, inversamente, quando eles estiverem tentando camuflar outras atividades de rede como http, executando-o na porta 80).
As diferenças do OpenDPI incluem suporte para protocolos adicionais, portabilidade para a plataforma Windows, otimização de desempenho, adaptação para uso em aplicativos de monitoramento de tráfego em tempo real (alguns recursos específicos que desaceleravam o mecanismo foram removidos), a capacidade de construir na forma de um Módulo do kernel Linux e suporte para definição de subprotocolos.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
Na nova versão:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Adicionado suporte para protocolos e serviços:
- Ultra Surf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- coletado
- PIM (Multicast Independente de Protocolo)
- Multicast Geral Pragmático (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- Dazn
- MPEG-DASH
- Rede em tempo real definida por software Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Impacto Genshin
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutela
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Fonte: opennet.ru