ntop-projektet, som utvecklar verktyg för att fånga och analysera trafik, har publicerat släppet av nDPI 4.4 deep packet inspection toolkit, som fortsätter utvecklingen av OpenDPI-biblioteket. nDPI-projektet grundades efter ett misslyckat försök att driva förändringar i OpenDPI-förvaret, som lämnades outhållet. nDPI-koden är skriven i C och är licensierad under LGPLv3.
Systemet låter dig bestämma de protokoll på applikationsnivå som används i trafiken, analysera karaktären av nätverksaktivitet utan att vara bunden till nätverksportar (det kan bestämma välkända protokoll vars hanterare accepterar anslutningar på icke-standardiserade nätverksportar, till exempel, om http inte skickas från port 80, eller omvänt, när som De försöker kamouflera annan nätverksaktivitet som http genom att köra den på port 80).
Skillnader från OpenDPI inkluderar stöd för ytterligare protokoll, portering till Windows-plattformen, prestandaoptimering, anpassning för användning i trafikövervakningsapplikationer i realtid (några specifika funktioner som saktade ner motorn togs bort), möjligheten att bygga i form av en Linux-kärnmodul och stöd för att definiera underprotokoll .
Totalt stöds definitioner av cirka 300 protokoll och applikationer, från OpenVPN, Tor, QUIC, SOCKS, BitTorrent och IPsec till Telegram, Viber, WhatsApp, PostgreSQL och samtal till Gmail, Office365, GoogleDocs och YouTube. Det finns en server- och klient-SSL-certifikatavkodare som låter dig bestämma protokollet (till exempel Citrix Online och Apple iCloud) med hjälp av krypteringscertifikatet. Verktyget nDPIreader tillhandahålls för att analysera innehållet i pcap-dumpar eller aktuell trafik via nätverksgränssnittet.
I den nya utgåvan:
- Lade till metadata med information om anledningen till att man ringde hanteraren för ett visst hot.
- Lade till funktionen ndpi_check_flow_risk_exceptions() för att ansluta nätverkshothanterare.
- En uppdelning har gjorts i nätverksprotokoll (till exempel TLS) och applikationsprotokoll (till exempel Googles tjänster).
- Lade till två nya sekretessnivåer: NDPI_CONFIDENCE_DPI_PARTIAL och NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Lade till mall för att definiera användningen av Cloudflare WARP-tjänsten
- Den interna hashmapimplementeringen har ersatts med uthash.
- Uppdaterade Python-språkbindningar.
- Som standard är den inbyggda gcrypt-implementeringen aktiverad (alternativet --with-libgcrypt tillhandahålls för att använda systemimplementeringen).
- Utbudet av identifierade nätverkshot och problem förknippade med risken för kompromiss (flödesrisk) har utökats. Tillagt stöd för nya hottyper: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT och NDPI_ANONYMOUS_SUBSCRIBER.
- Tillagt stöd för protokoll och tjänster:
- Ultra
- i3D
- upploppsspel
- tsan
- TunnelBear VPN
- insamlade
- PIM (Protocol Independent Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- GoTo-produkter som GoToMeeting
- Dazn
- MPEG-DASH
- Agora Software Defined Realtime Network (SD-RTN)
- Toca Boca
- VXLAN
- DMNS/LLMNR
- Förbättrad protokollanalys och upptäckt:
- SMTP/SMTPS (STARTTLS-stöd tillagt)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP-
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (tillagt stöd för v2drft 01-specifikationen)
- SSDP
- SNMP
- DGA
- AES-NI
Källa: opennet.ru