Projekt ntop, ktorý vyvíja nástroje na zachytávanie a analýzu prevádzky, zverejnil vydanie sady nástrojov na hĺbkovú kontrolu paketov nDPI 4.4, ktorá pokračuje vo vývoji knižnice OpenDPI. Projekt nDPI vznikol po neúspešnom pokuse presadiť zmeny do OpenDPI úložiska, ktoré zostalo neudržiavané. Kód nDPI je napísaný v jazyku C a je licencovaný pod LGPLv3.
Systém vám umožňuje určiť protokoly na aplikačnej úrovni používané v prevádzke, analyzovať povahu sieťovej aktivity bez toho, aby bol viazaný na sieťové porty (dokáže určiť známe protokoly, ktorých manipulátory akceptujú pripojenia na neštandardných sieťových portoch, napr. ak sa http neposiela z portu 80, alebo naopak, kedy sa snažia inú sieťovú aktivitu zakamuflovať ako http spustením na porte 80).
Rozdiely oproti OpenDPI zahŕňajú podporu dodatočných protokolov, portovanie na platformu Windows, optimalizáciu výkonu, prispôsobenie pre použitie v aplikáciách na sledovanie premávky v reálnom čase (odstránili sa niektoré špecifické funkcie, ktoré spomaľovali engine), možnosť zostavenia vo forme tzv. Modul linuxového jadra a podpora pre definovanie podprotokolov .
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
V novom vydaní:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Pridaná podpora pre protokoly a služby:
- UltraSurf
- i3D
- výtržnosti
- tsan
- TunnelBear VPN
- zhromaždené
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- HSR
- Продукты GoTo, такие как GoToMeeting
- dazn
- MPEG-DASH
- Sieť v reálnom čase definovaná softvérom Agora (SD-RTN)
- Dotknite sa položky Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- PRÍRODY
- Vıber
- Xiao
- Raknet
- gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Zdroj: opennet.ru