โครงการ ntop ซึ่งพัฒนาเครื่องมือสำหรับการจับและวิเคราะห์การรับส่งข้อมูล ได้เผยแพร่การเปิดตัวชุดเครื่องมือตรวจสอบแพ็กเก็ตเชิงลึก nDPI 4.0 ซึ่งยังคงพัฒนาไลบรารี OpenDPI ต่อไป โครงการ nDPI ก่อตั้งขึ้นหลังจากพยายามผลักดันการเปลี่ยนแปลงไปยังที่เก็บ OpenDPI ซึ่งไม่ได้รับการดูแลไม่สำเร็จ รหัส nDPI เขียนด้วยภาษา C และได้รับอนุญาตภายใต้ LGPLv3
โครงการช่วยให้คุณสามารถกำหนดโปรโตคอลระดับแอปพลิเคชันที่ใช้ในการรับส่งข้อมูล วิเคราะห์ลักษณะของกิจกรรมเครือข่ายโดยไม่ต้องเชื่อมโยงกับพอร์ตเครือข่าย (สามารถกำหนดโปรโตคอลที่รู้จักซึ่งตัวจัดการยอมรับการเชื่อมต่อบนพอร์ตเครือข่ายที่ไม่ได้มาตรฐาน เช่น ถ้า http เป็น ส่งจากพอร์ตอื่นที่ไม่ใช่พอร์ต 80 หรือในทางกลับกัน เมื่อพวกเขากำลังพยายามอำพรางกิจกรรมเครือข่ายอื่น ๆ เป็น http โดยเรียกใช้บนพอร์ต 80)
ความแตกต่างจาก OpenDPI ได้แก่ การรองรับโปรโตคอลเพิ่มเติม, การพอร์ตไปยังแพลตฟอร์ม Windows, การเพิ่มประสิทธิภาพการทำงาน, การปรับเพื่อใช้ในแอปพลิเคชันตรวจสอบปริมาณข้อมูลแบบเรียลไทม์ (คุณลักษณะเฉพาะบางอย่างที่ทำให้เครื่องยนต์ช้าลงถูกลบออก), ความสามารถในการสร้างในรูปแบบของ โมดูลเคอร์เนล Linux และการสนับสนุนการกำหนดโปรโตคอลย่อย
รองรับโปรโตคอลและคำจำกัดความแอปพลิเคชันทั้งหมด 247 รายการ ตั้งแต่ OpenVPN, Tor, QUIC, SOCKS, BitTorrent และ IPsec ไปจนถึง Telegram, Viber, WhatsApp, PostgreSQL และการโทรไปยัง GMail, Office365 GoogleDocs และ YouTube มีตัวถอดรหัสใบรับรอง SSL ของเซิร์ฟเวอร์และไคลเอนต์ที่ให้คุณกำหนดโปรโตคอล (เช่น Citrix Online และ Apple iCloud) โดยใช้ใบรับรองการเข้ารหัส ยูทิลิตี้ nDPIreader จัดทำขึ้นเพื่อวิเคราะห์เนื้อหาของดัมพ์ pcap หรือการรับส่งข้อมูลปัจจุบันผ่านอินเทอร์เฟซเครือข่าย
$ ./nDPIreader -i eth0 -s 20 -f “โฮสต์ 192.168.1.10” โปรโตคอลที่ตรวจพบ: แพ็กเก็ต DNS: 57 ไบต์: 7904 โฟลว์: 28 แพ็กเก็ต SSL_No_Cert: 483 ไบต์: 229203 โฟลว์: 6 แพ็กเก็ต FaceBook: 136 ไบต์: 74702 โฟลว์: 4 แพ็กเก็ต DropBox: 9 ไบต์: 668 โฟลว์: 3 แพ็กเก็ต Skype: 5 ไบต์: 339 โฟลว์: 3 แพ็กเก็ต Google: 1700 ไบต์: 619135 โฟลว์: 34
ในรุ่นใหม่:
- ปรับปรุงการรองรับวิธีวิเคราะห์ทราฟฟิกที่เข้ารหัส (ETA - การวิเคราะห์ทราฟฟิกที่เข้ารหัส)
- มีการใช้งานการสนับสนุนสำหรับวิธีการระบุไคลเอ็นต์ JA3+ TLS ที่ปรับปรุงแล้ว ซึ่งช่วยให้สามารถกำหนดซอฟต์แวร์ที่ใช้ในการสร้างการเชื่อมต่อ (เช่น ช่วยให้คุณกำหนดการใช้ Tor และพารามิเตอร์ที่ระบุได้โดยอิงตามคุณสมบัติการเจรจาการเชื่อมต่อและพารามิเตอร์ที่ระบุ) การใช้งานทั่วไปอื่นๆ) ต่างจากวิธี JA3 ที่รองรับก่อนหน้านี้ JA3+ มีผลบวกลวงน้อยกว่า
- จำนวนภัยคุกคามเครือข่ายที่ระบุและปัญหาที่เกี่ยวข้องกับความเสี่ยงของการประนีประนอม (ความเสี่ยงในการไหล) ได้รับการขยายเป็น 33 ตัวตรวจจับภัยคุกคามใหม่ได้รับการเพิ่มที่เกี่ยวข้องกับการแชร์เดสก์ท็อปและไฟล์ การรับส่งข้อมูล HTTP ที่น่าสงสัย JA3 และ SHA1 ที่เป็นอันตราย และการเข้าถึงปัญหา โดเมนและระบบอัตโนมัติ การใช้ใบรับรอง TLS ที่มีส่วนขยายที่น่าสงสัยหรือระยะเวลาที่มีผลนานเกินไป
- มีการเพิ่มประสิทธิภาพการทำงานอย่างมีนัยสำคัญ เมื่อเปรียบเทียบกับสาขา 3.0 ความเร็วของการประมวลผลการรับส่งข้อมูลเพิ่มขึ้น 2.5 เท่า
- เพิ่มการรองรับ GeoIP เพื่อระบุตำแหน่งตามที่อยู่ IP
- เพิ่ม API สำหรับการคำนวณ RSI (Relative Strength Index)
- มีการนำการควบคุมการแยกส่วนไปใช้แล้ว
- เพิ่ม API สำหรับการคำนวณความสม่ำเสมอของการไหล (กระวนกระวายใจ)
- เพิ่มการรองรับโปรโตคอลและบริการ: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, การจัดการกลุ่มเครื่องเสมือน HP (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, ผู้ช่วยเสมือน ( อเล็กซ่า, สิริ), Z39.50
- ปรับปรุงการแยกวิเคราะห์และการตรวจจับ AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, การควบคุม FTP, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP โปรโตคอล , RTSP ผ่าน HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard
ที่มา: opennet.ru