Projekti ntop, i cili zhvillon mjete për kapjen dhe analizimin e trafikut, ka publikuar lëshimin e paketës së inspektimit të paketave të thella nDPI 4.8, e cila vazhdon zhvillimin e bibliotekës OpenDPI. Projekti nDPI u themelua pas një përpjekjeje të pasuksesshme për të shtyrë ndryshimet në depon e OpenDPI, e cila mbeti e pamirëmbajtur. Kodi nDPI është shkruar në C dhe është i licencuar sipas LGPLv3.
Sistemi ju lejon të përcaktoni protokollet e nivelit të aplikacionit të përdorur në trafik, duke analizuar natyrën e aktivitetit të rrjetit pa u lidhur me portet e rrjetit (ai mund të përcaktojë protokolle të njohura, mbajtësit e të cilëve pranojnë lidhje në porte rrjeti jo standarde, për shembull, nëse http nuk dërgohet nga porti 80, ose, anasjelltas, kur ata po përpiqen të kamuflojnë aktivitetin tjetër të rrjetit si http duke e ekzekutuar atë në portin 80).
Dallimet nga OpenDPI përfshijnë mbështetjen për protokolle shtesë, transferimin në platformën Windows, optimizimin e performancës, përshtatjen për përdorim në aplikacionet e monitorimit të trafikut në kohë reale (disa veçori specifike që ngadalësuan motorin u hoqën), aftësinë për të ndërtuar në formën e një Moduli i kernelit Linux dhe mbështetje për përcaktimin e nënprotokolleve.
Mbështet zbulimin e 53 llojeve të kërcënimeve të rrjetit (rreziku i rrjedhës) dhe më shumë se 350 protokolle dhe aplikacione (nga OpenVPN, Tor, QUIC, SOCKS, BitTorrent dhe IPsec në Telegram, Viber, WhatsApp, PostgreSQL dhe thirrjet në Gmail, Office 365, Google Docs dhe YouTube). Ekziston një dekoder i certifikatës SSL të serverit dhe klientit që ju lejon të përcaktoni protokollin (për shembull, Citrix Online dhe Apple iCloud) duke përdorur certifikatën e kriptimit. Programi nDPIreader ofrohet për të analizuar përmbajtjen e pcap dumps ose trafikun aktual nëpërmjet ndërfaqes së rrjetit.
Në publikimin e ri:
- Konsumi i memories është reduktuar me urdhra të madhësisë, falë ripërpunimit të zbatimit të listave.
- Mbështetja IPv6 është zgjeruar.
- U shtuan identifikues të rinj të protokollit në lidhje me përmbajtjen për të rritur, reklamat, analitikën në ueb dhe gjurmimin.
- Mbështetje e shtuar për protokollet dhe shërbimet:
- HAProxy
- Apache Thrift
- RMCP (Protokolli i Kontrollit të Menaxhimit në distancë)
- SLP (Protokolli i vendndodhjes së shërbimit)
- Bitcoin
- HTTP/2 pa enkriptim
- SRTP (Transport i sigurt në kohë reale)
- BACnet
- OICQ (lajmëtar kinez)
- Përkufizimi i shtuar i OperaVPN dhe ProtonVPN. Zbulimi i përmirësuar i Wireguard.
- Zbatuar heuristikat për të identifikuar flukset e trafikut plotësisht të koduara.
- Përkufizimi i shtuar i shërbimeve Yandex dhe VK.
- Zbulim i shtuar i rrotullave dhe tregimeve të Facebook.
- Përkufizimi i shtuar i platformës së lojërave Roblox, shërbimit cloud NVIDIA GeForceNow, lojërave Epic Games dhe lojës "Heroes of the Storm".
- Zbulimi i përmirësuar i trafikut nga robotët e kërkimit.
- Analizimi dhe identifikimi i përmirësuar i protokolleve dhe shërbimeve:
- gnutella
- H323
- HTTP
- strehë
- Ekipet e MS
- Alibaba
- MGCP
- Avull
- MySQL
- Zabbix
- Gama e kërcënimeve të identifikuara të rrjetit dhe problemeve që lidhen me rrezikun e kompromisit (risku i rrjedhës) është zgjeruar. Mbështetje e shtuar për llojet e reja të kërcënimeve: NDPI_MALWARE_HOST_CONTACTED dhe NDPI_TLS_ALPN_SNI_MISMATCH.
- Testimi i paqartë u organizua për të identifikuar problemet e besueshmërisë.
- Problemet me ndërtimin në FreeBSD janë zgjidhur.
Burimi: opennet.ru