Projekt ntop, ktorý vyvíja nástroje na zachytávanie a analýzu prevádzky, zverejnil vydanie sady nástrojov na hĺbkovú kontrolu paketov nDPI 4.8, ktorá pokračuje vo vývoji knižnice OpenDPI. Projekt nDPI vznikol po neúspešnom pokuse presadiť zmeny do OpenDPI úložiska, ktoré zostalo neudržiavané. Kód nDPI je napísaný v jazyku C a je licencovaný pod LGPLv3.
Systém vám umožňuje určiť protokoly na aplikačnej úrovni používané v prevádzke, analyzovať povahu sieťovej aktivity bez toho, aby bol viazaný na sieťové porty (dokáže určiť známe protokoly, ktorých manipulátory akceptujú pripojenia na neštandardných sieťových portoch, napr. ak sa http neposiela z portu 80, alebo naopak, kedy sa snažia inú sieťovú aktivitu zakamuflovať ako http spustením na porte 80).
Rozdiely oproti OpenDPI zahŕňajú podporu dodatočných protokolov, portovanie na platformu Windows, optimalizáciu výkonu, prispôsobenie pre použitie v aplikáciách na sledovanie premávky v reálnom čase (odstránili sa niektoré špecifické funkcie, ktoré spomaľovali engine), možnosť zostavenia vo forme tzv. Modul linuxového jadra a podpora pre definovanie podprotokolov .
Podporuje detekciu 53 typov sieťových hrozieb (riziko toku) a viac ako 350 protokolov a aplikácií (od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec po Telegram, Viber, WhatsApp, PostgreSQL a volania do Gmailu, Office 365, Google Docs a YouTube). Existuje serverový a klientsky dekodér certifikátov SSL, ktorý vám umožňuje určiť protokol (napríklad Citrix Online a Apple iCloud) pomocou šifrovacieho certifikátu. Nástroj nDPIreader sa dodáva na analýzu obsahu výpisov pcap alebo aktuálnej prevádzky cez sieťové rozhranie.
V novom vydaní:
- Spotreba pamäte sa vďaka prepracovaniu implementácie zoznamov znížila rádovo.
- Podpora IPv6 bola rozšírená.
- Pridané nové identifikátory protokolu týkajúce sa obsahu pre dospelých, reklamy, webovej analýzy a sledovania.
- Pridaná podpora pre protokoly a služby:
- HAProxy
- Apache Thrift
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Bitcoin
- HTTP/2 bez šifrovania
- SRTP (Secure Real-Time Transport)
- BACnet
- OICQ (čínsky posol)
- Pridaná definícia OperaVPN a ProtonVPN. Vylepšená detekcia Wireguard.
- Implementovaná heuristika na identifikáciu plne šifrovaných prevádzkových tokov.
- Pridaná definícia služieb Yandex a VK.
- Pridaná detekcia kotúčov a príbehov Facebooku.
- Pridaná definícia hernej platformy Roblox, cloudovej služby NVIDIA GeForceNow, hier Epic Games a hry „Heroes of the Storm“.
- Vylepšená detekcia návštevnosti z vyhľadávacích robotov.
- Vylepšená analýza a identifikácia protokolov a služieb:
- Gnutella
- H323
- HTTP
- Hangout
- Tímy MS
- Alibaba
- MGCP
- Steam
- MySQL
- Zabbix
- Rozšíril sa rozsah identifikovaných sieťových hrozieb a problémov spojených s rizikom kompromitácie (flow risk). Pridaná podpora pre nové typy hrozieb: NDPI_MALWARE_HOST_CONTACTED a NDPI_TLS_ALPN_SNI_MISMATCH.
- Na identifikáciu problémov so spoľahlivosťou bolo zorganizované fuzzy testovanie.
- Problémy s budovaním na FreeBSD boli vyriešené.
Zdroj: opennet.ru