Ang ntop project, na bumubuo ng mga tool para sa pagkuha at pagsusuri ng trapiko, ay naglathala ng paglabas ng nDPI 4.0 deep packet inspection toolkit, na nagpapatuloy sa pagbuo ng OpenDPI library. Itinatag ang proyekto ng nDPI pagkatapos ng hindi matagumpay na pagtatangka na itulak ang mga pagbabago sa repositoryo ng OpenDPI, na hindi pinapanatili. Ang nDPI code ay nakasulat sa C at lisensyado sa ilalim ng LGPLv3.
Binibigyang-daan ka ng proyekto na matukoy ang mga protocol sa antas ng aplikasyon na ginagamit sa trapiko, sinusuri ang likas na katangian ng aktibidad ng network nang hindi nakatali sa mga port ng network (maaari nitong matukoy ang mga kilalang protocol na ang mga humahawak ay tumatanggap ng mga koneksyon sa hindi karaniwang mga port ng network, halimbawa, kung ang http ay ipinadala mula sa isang port maliban sa port 80, o, sa kabaligtaran, kung kailan Sinusubukan nilang i-camouflage ang iba pang aktibidad ng network bilang http sa pamamagitan ng pagpapatakbo nito sa port 80).
Kabilang sa mga pagkakaiba sa OpenDPI ang suporta para sa mga karagdagang protocol, pag-port sa Windows platform, pag-optimize ng pagganap, pagbagay para sa paggamit sa mga real-time na application ng pagsubaybay sa trapiko (naalis ang ilang partikular na feature na nagpabagal sa makina), ang kakayahang bumuo sa anyo ng isang Linux kernel module, at suporta para sa pagtukoy ng mga subprotocol .
May kabuuang 247 protocol at mga kahulugan ng application ang sinusuportahan, mula sa OpenVPN, Tor, QUIC, SOCKS, BitTorrent at IPsec hanggang Telegram, Viber, WhatsApp, PostgreSQL at mga tawag sa GMail, Office365 GoogleDocs at YouTube. Mayroong server at client SSL certificate decoder na nagbibigay-daan sa iyong matukoy ang protocol (halimbawa, Citrix Online at Apple iCloud) gamit ang encryption certificate. Ang utility ng nDPIreader ay ibinibigay upang suriin ang mga nilalaman ng mga pcap dump o kasalukuyang trapiko sa pamamagitan ng interface ng network.
$ ./nDPIreader -i eth0 -s 20 -f βhost 192.168.1.10β Natukoy na mga protocol: DNS packets: 57 bytes: 7904 flows: 28 SSL_No_Cert packets: 483 bytes: 229203 flows bytes: 6 FaceBooks 136 flows: 74702 FaceBooks 4 packet 9 na DropBox packet: 668 bytes: 3 flows: 5 Skype packets: 339 bytes: 3 flows: 1700 Google packets: 619135 bytes: 34 flows: XNUMX
Sa bagong release:
- Pinahusay na suporta para sa mga naka-encrypt na paraan ng pagsusuri ng trapiko (ETA - Naka-encrypt na Pagsusuri ng Trapiko).
- Ipinatupad ang suporta para sa pinahusay na paraan ng pagkilala sa kliyente ng JA3+ TLS, na nagpapahintulot, batay sa mga tampok ng negosasyon sa koneksyon at tinukoy na mga parameter, upang matukoy kung aling software ang ginagamit upang magtatag ng isang koneksyon (halimbawa, pinapayagan ka nitong matukoy ang paggamit ng Tor at iba pang karaniwang mga aplikasyon). Hindi tulad ng dati nang sinusuportahang paraan ng JA3, ang JA3+ ay may mas kaunting mga maling positibo.
- Ang bilang ng mga natukoy na banta sa network at mga problema na nauugnay sa panganib ng kompromiso (panganib sa daloy) ay pinalawak sa 33. Nagdagdag ng mga bagong threat detector na may kaugnayan sa desktop at pagbabahagi ng file, kahina-hinalang trapiko ng HTTP, nakakahamak na JA3 at SHA1, at access sa may problema domain at autonomous system, ang paggamit ng mga TLS certificate na may mga kahina-hinalang extension o masyadong mahaba ang validity period.
- Naisagawa ang makabuluhang pag-optimize ng pagganap; kumpara sa branch 3.0, ang bilis ng pagproseso ng trapiko ay tumaas ng 2.5 beses.
- Nagdagdag ng suporta sa GeoIP para sa pagtukoy ng lokasyon sa pamamagitan ng IP address.
- Nagdagdag ng API para sa pagkalkula ng RSI (Relative Strength Index).
- Ang mga kontrol sa fragmentation ay ipinatupad.
- Nagdagdag ng API para sa pagkalkula ng pagkakapareho ng daloy (jitter).
- Nagdagdag ng suporta para sa mga protocol at serbisyo: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa , Siri), Z39.50.
- Pinahusay na pag-parse at pagtukoy ng AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP mga protocol , RTSP sa pamamagitan ng HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Pinagmulan: opennet.ru