Projekt ntop, ki razvija orodja za zajem in analizo prometa, je objavil izdajo kompleta orodij za globoko pregledovanje paketov nDPI 4.4, ki nadaljuje razvoj knjižnice OpenDPI. Projekt nDPI je bil ustanovljen po neuspešnem poskusu vnašanja sprememb v skladišče OpenDPI, ki je ostalo nevzdrževano. Koda nDPI je napisana v C in je licencirana pod LGPLv3.
Sistem vam omogoča, da določite protokole na ravni aplikacije, ki se uporabljajo v prometu, in analizira naravo omrežne dejavnosti, ne da bi bili vezani na omrežna vrata (lahko določi dobro znane protokole, katerih upravljavci sprejemajo povezave na nestandardnih omrežnih vratih, na primer če http ni poslan iz vrat 80 ali, nasprotno, ko poskušajo zakamuflirati drugo omrežno dejavnost kot http tako, da jo izvajajo na vratih 80).
Razlike od OpenDPI vključujejo podporo za dodatne protokole, prenos na platformo Windows, optimizacijo zmogljivosti, prilagoditev za uporabo v aplikacijah za spremljanje prometa v realnem času (nekatere posebne funkcije, ki so upočasnile motor, so bile odstranjene), možnost gradnje v obliki Modul jedra Linuxa in podpora za definiranje podprotokolov.
Всего поддерживается определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к GMail, Office365, GoogleDocs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
V novi izdaji:
- Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
- Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
- Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
- Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Добавлен шаблон для определения использования сервиса Cloudflare WARP
- Внутренняя реализация hashmap заменена на uthash.
- Обновлены привязки для языка Python.
- По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция —with-libgcrypt).
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
- Dodana podpora za protokole in storitve:
- UltraSurf
- i3D
- riotgames
- tsan
- TunnelBear VPN
- zbrani
- PIM (od protokola neodvisno multicast)
- Pragmatično splošno večoddajanje (PGM)
- RSH
- Продукты GoTo, такие как GoToMeeting
- dazn
- MPEG-DASH
- Programsko določeno omrežje v realnem času Agora (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Улучшен разбор и определение протоколов:
- SMTP/SMTPS (добавлена поддержка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (добавлена поддержка спецификации v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Vir: opennet.ru