Projekt ntop, ki razvija orodja za zajem in analizo prometa, je objavil izdajo kompleta orodij za globoko pregledovanje paketov nDPI 4.8, ki nadaljuje razvoj knjižnice OpenDPI. Projekt nDPI je bil ustanovljen po neuspešnem poskusu vnašanja sprememb v skladišče OpenDPI, ki je ostalo nevzdrževano. Koda nDPI je napisana v C in je licencirana pod LGPLv3.
Sistem vam omogoča, da določite protokole na ravni aplikacije, ki se uporabljajo v prometu, in analizira naravo omrežne dejavnosti, ne da bi bili vezani na omrežna vrata (lahko določi dobro znane protokole, katerih upravljavci sprejemajo povezave na nestandardnih omrežnih vratih, na primer če http ni poslan iz vrat 80 ali, nasprotno, ko poskušajo zakamuflirati drugo omrežno dejavnost kot http tako, da jo izvajajo na vratih 80).
Razlike od OpenDPI vključujejo podporo za dodatne protokole, prenos na platformo Windows, optimizacijo zmogljivosti, prilagoditev za uporabo v aplikacijah za spremljanje prometa v realnem času (nekatere posebne funkcije, ki so upočasnile motor, so bile odstranjene), možnost gradnje v obliki Modul jedra Linuxa in podpora za definiranje podprotokolov.
Podpira zaznavanje 53 vrst omrežnih groženj (tveganj pretoka) in več kot 350 protokolov in aplikacij (od OpenVPN, Tor, QUIC, SOCKS, BitTorrent in IPsec do Telegrama, Viberja, WhatsAppa, PostgreSQL in zahtev do Gmaila, Office 365, Google Dokumentov in YouTuba). Vključuje tudi dekoder za strežnik in odjemalca. SSL certifikati, ki vam omogoča prepoznavanje protokola (na primer Citrix Online in Apple iCloud) z uporabo šifrirnega potrdila. Pripomoček nDPIreader je na voljo za analizo vsebine izpisov pcap ali trenutnega prometa omrežnega vmesnika.
V novi izdaji:
- Poraba pomnilnika se je zaradi prenove implementacije seznama zmanjšala za več velikostnih razredov.
- Razširjeno Podpora za IPv6.
- Dodani novi identifikatorji protokola, povezani z vsebino za odrasle, oglaševanjem, spletno analitiko in sledenjem.
- Dodana podpora za protokole in storitve:
- HAProxy
- Apache Thrift
- RMCP (Protokol za oddaljeno upravljanje in nadzor)
- SLP (Protokol za lokacijo storitev)
- Bitcoin
- HTTP/2 brez šifriranja
- SRTP (Varni prenos v realnem času)
- BACnet
- OICQ (kitajski sel)
- Dodano zaznavanje za OperaVPN in ProtonVPN. Izboljšano zaznavanje Wireguard.
- Implementirane hevristike za zaznavanje popolnoma šifriranih prometnih tokov.
- Dodana definicija storitev Yandex in VK.
- Dodana definicija Facebook kolutov in zgodb.
- Dodane definicije za igralno platformo Roblox, storitev v oblaku NVIDIA GeForceNow, igre podjetja Epic Games in igro "Heroes of the Storm".
- Izboljšano zaznavanje prometa iz iskalnih robotov.
- Izboljšano razčlenjevanje in prepoznavanje protokolov in storitev:
- Gnutella
- H323
- HTTP
- Obiščejo
- MS ekipe
- Alibaba
- MGCP
- Parna
- MySQL
- Zabbix
- Razširjen je bil obseg zaznanih omrežnih groženj in tveganj pretoka. Dodana je bila podpora za novi vrsti groženj: NDPI_MALWARE_HOST_CONTACTED in NDPI_TLS_ALPN_SNI_MISMATCH.
- Za odkrivanje težav z zanesljivostjo je bilo organizirano testiranje nejasnosti.
- Odpravljene težave pri gradnji na FreeBSD.
Vir: opennet.ru
