O projeto ntop, que desenvolve ferramentas para captura e análise de tráfego, publicou o lançamento do kit de ferramentas de inspeção profunda de pacotes nDPI 4.8, que dá continuidade ao desenvolvimento da biblioteca OpenDPI. O projeto nDPI foi fundado após uma tentativa malsucedida de enviar alterações ao repositório OpenDPI, que não foi mantido. O código nDPI é escrito em C e licenciado sob LGPLv3.
O sistema permite determinar os protocolos de nível de aplicação usados no tráfego, analisando a natureza da atividade da rede sem estar vinculado às portas da rede (pode determinar protocolos conhecidos cujos manipuladores aceitam conexões em portas de rede não padrão, por exemplo, se o http não for enviado da porta 80 ou, inversamente, quando eles estiverem tentando camuflar outras atividades de rede como http, executando-o na porta 80).
As diferenças do OpenDPI incluem suporte para protocolos adicionais, portabilidade para a plataforma Windows, otimização de desempenho, adaptação para uso em aplicativos de monitoramento de tráfego em tempo real (alguns recursos específicos que desaceleravam o mecanismo foram removidos), a capacidade de construir na forma de um Módulo do kernel Linux e suporte para definição de subprotocolos.
Suporta detecção de 53 tipos de ameaças de rede (risco de fluxo) e mais de 350 protocolos e aplicações (desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec até Telegram, Viber, WhatsApp, PostgreSQL e chamadas para Gmail, Office 365, Google Docs e YouTube). Existe um decodificador de certificado SSL de servidor e cliente que permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) usando o certificado de criptografia. O utilitário nDPIreader é fornecido para analisar o conteúdo de dumps pcap ou tráfego atual por meio da interface de rede.
Na nova versão:
- O consumo de memória foi reduzido em ordens de grandeza, graças à reformulação da implementação das listas.
- O suporte IPv6 foi expandido.
- Adicionados novos identificadores de protocolo relacionados a conteúdo adulto, publicidade, análise da web e rastreamento.
- Adicionado suporte para protocolos e serviços:
- HAPROxy
- Apache ThriftName
- RMCP (Protocolo de Controle de Gerenciamento Remoto)
- SLP (protocolo de localização de serviço)
- Bitcoin
- HTTP/2 sem criptografia
- SRTP (transporte seguro em tempo real)
- BACnet
- OICQ (mensageiro chinês)
- Adicionada definição de OperaVPN e ProtonVPN. Detecção de Wireguard aprimorada.
- Heurística implementada para identificar fluxos de tráfego totalmente criptografados.
- Adicionada definição de serviços Yandex e VK.
- Adicionada detecção de rolos e histórias do Facebook.
- Adicionada definição da plataforma de jogos Roblox, serviço de nuvem NVIDIA GeForceNow, jogos da Epic Games e o jogo “Heroes of the Storm”.
- Detecção aprimorada de tráfego de bots de pesquisa.
- Análise e identificação aprimoradas de protocolos e serviços:
- Gnutella
- H323
- HTTP
- moradia
- Equipes MS
- Alibaba
- MGCP
- Steam
- MySQL
- Zabbix
- A gama de ameaças e problemas de rede identificados associados ao risco de comprometimento (risco de fluxo) foi ampliada. Adicionado suporte para novos tipos de ameaças: NDPI_MALWARE_HOST_CONTACTED e NDPI_TLS_ALPN_SNI_MISMATCH.
- Testes de difusão foram organizados para identificar problemas de confiabilidade.
- Os problemas com a construção no FreeBSD foram resolvidos.
Fonte: opennet.ru