โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > การเปิดตัวระบบการตรวจสอบแพ็คเก็ตเชิงลึก nDPI 4.8

การเปิดตัวระบบการตรวจสอบแพ็คเก็ตเชิงลึก nDPI 4.8

โครงการ ntop ซึ่งพัฒนาเครื่องมือสำหรับการจับและวิเคราะห์การรับส่งข้อมูล ได้เผยแพร่การเปิดตัวชุดเครื่องมือตรวจสอบแพ็กเก็ตเชิงลึก nDPI 4.8 ซึ่งยังคงพัฒนาไลบรารี OpenDPI ต่อไป โครงการ nDPI ก่อตั้งขึ้นหลังจากพยายามผลักดันการเปลี่ยนแปลงไปยังที่เก็บ OpenDPI ซึ่งไม่ได้รับการดูแลไม่สำเร็จ รหัส nDPI เขียนด้วยภาษา C และได้รับอนุญาตภายใต้ LGPLv3

ระบบช่วยให้คุณสามารถกำหนดโปรโตคอลระดับแอปพลิเคชันที่ใช้ในการรับส่งข้อมูล วิเคราะห์ลักษณะของกิจกรรมเครือข่ายโดยไม่ต้องเชื่อมโยงกับพอร์ตเครือข่าย (สามารถกำหนดโปรโตคอลที่รู้จักกันดีซึ่งตัวจัดการยอมรับการเชื่อมต่อบนพอร์ตเครือข่ายที่ไม่ได้มาตรฐาน เช่น หากไม่ได้ส่ง http จากพอร์ต 80 หรือในทางกลับกัน เมื่อพวกเขากำลังพยายามอำพรางกิจกรรมเครือข่ายอื่น ๆ เป็น http โดยเรียกใช้บนพอร์ต 80)

ความแตกต่างจาก OpenDPI ได้แก่ การรองรับโปรโตคอลเพิ่มเติม, การพอร์ตไปยังแพลตฟอร์ม Windows, การเพิ่มประสิทธิภาพการทำงาน, การปรับเพื่อใช้ในแอปพลิเคชันตรวจสอบปริมาณข้อมูลแบบเรียลไทม์ (คุณลักษณะเฉพาะบางอย่างที่ทำให้เครื่องยนต์ช้าลงถูกลบออก), ความสามารถในการสร้างในรูปแบบของ โมดูลเคอร์เนล Linux และการสนับสนุนการกำหนดโปรโตคอลย่อย

รองรับการตรวจจับภัยคุกคามเครือข่าย 53 ประเภท (ความเสี่ยงในการไหล) และโปรโตคอลและแอปพลิเคชันมากกว่า 350 รายการ (ตั้งแต่ OpenVPN, Tor, QUIC, SOCKS, BitTorrent และ IPsec ไปจนถึง Telegram, Viber, WhatsApp, PostgreSQL และการโทรไปยัง Gmail, Office 365, Google Docs และยูทูป) มีตัวถอดรหัสใบรับรอง SSL ของเซิร์ฟเวอร์และไคลเอนต์ที่ให้คุณกำหนดโปรโตคอล (เช่น Citrix Online และ Apple iCloud) โดยใช้ใบรับรองการเข้ารหัส ยูทิลิตี้ nDPIreader จัดทำขึ้นเพื่อวิเคราะห์เนื้อหาของดัมพ์ pcap หรือการรับส่งข้อมูลปัจจุบันผ่านอินเทอร์เฟซเครือข่าย

ในรุ่นใหม่:

  • การใช้หน่วยความจำลดลงตามลำดับความสำคัญ เนื่องจากการนำรายการไปใช้ใหม่
  • การสนับสนุน IPv6 ได้รับการขยายแล้ว
  • เพิ่มตัวระบุโปรโตคอลใหม่ที่เกี่ยวข้องกับเนื้อหาสำหรับผู้ใหญ่ การโฆษณา การวิเคราะห์เว็บ และการติดตาม
  • เพิ่มการรองรับโปรโตคอลและบริการ:
    • HAProxy
    • อาปาเช่ ทริฟท์
    • RMCP (โปรโตคอลควบคุมการจัดการระยะไกล)
    • SLP (โปรโตคอลตำแหน่งบริการ)
    • Bitcoin
    • HTTP/2 ที่ไม่มีการเข้ารหัส
    • SRTP (การขนส่งแบบเรียลไทม์ที่ปลอดภัย)
    • แบคเน็ต
    • OICQ (ผู้ส่งสารชาวจีน)
  • เพิ่มคำจำกัดความของ OperaVPN และ ProtonVPN ปรับปรุงการตรวจจับ Wireguard
  • ดำเนินการศึกษาพฤติกรรมเพื่อระบุกระแสการรับส่งข้อมูลที่เข้ารหัสอย่างสมบูรณ์
  • เพิ่มคำจำกัดความของบริการ Yandex และ VK
  • เพิ่มการตรวจจับวงล้อและเรื่องราวของ Facebook
  • เพิ่มคำจำกัดความของแพลตฟอร์มเกม Roblox, บริการคลาวด์ NVIDIA GeForceNow, เกม Epic Games และเกม "Heroes of the Storm"
  • ปรับปรุงการตรวจจับการรับส่งข้อมูลจากบอทการค้นหา
  • ปรับปรุงการแยกวิเคราะห์และการระบุโปรโตคอลและบริการ:
    • Gnutella
    • H323
    • HTTP
    • แฮงเอาท์
    • MS Teams
    • อาลีบาบา
    • เอ็มจีซีพี
    • อบไอน้ำ
    • MySQL
    • Zabbix
  • ช่วงของภัยคุกคามเครือข่ายที่ระบุและปัญหาที่เกี่ยวข้องกับความเสี่ยงของการประนีประนอม (ความเสี่ยงในการไหล) ได้รับการขยายออกไป เพิ่มการรองรับภัยคุกคามประเภทใหม่: NDPI_MALWARE_HOST_CONTACTED และ NDPI_TLS_ALPN_SNI_MISMATCH
  • มีการจัดการการทดสอบแบบคลุมเครือเพื่อระบุปัญหาความน่าเชื่อถือ
  • ปัญหาเกี่ยวกับการสร้างบน FreeBSD ได้รับการแก้ไขแล้ว

ที่มา: opennet.ru

เพิ่มความคิดเห็น