Проект ntop, який розвиває інструменти для захоплення та аналізу трафіку, опублікував випуск інструментарію для глибокого інспектування пакетів nDPI 4.0, що продовжує розвиток бібліотеки OpenDPI. Проект nDPI заснований після безуспішної спроби передачі змін до репозиторію OpenDPI, який залишився без супроводу. Код nDPI написаний мовою Сі та поширюється під ліцензією LGPLv3.
Проект дозволяє визначати в трафіку використовувані протоколи рівня програми, аналізуючи характер мережевої активності без прив'язки до мережевих портів (може визначати відомі протоколи, обробники яких приймають з'єднання на нестандартних мережевих портах, наприклад, якщо http віддається не з 80 порту, або, навпаки, коли яку іншу мережеву активність намагаються закамуфлювати під http через запуск на 80 порту).
Відмінності від OpenDPI зводяться до підтримки додаткових протоколів, портування для платформи Windows, оптимізації продуктивності, адаптації для застосування в додатках для моніторингу трафіку в режимі реального часу (прибрані деякі специфічні можливості, що уповільнювали двигун), можливості складання у формі модуля ядра Linux і підтримці .
Усього підтримується визначення 247 протоколів та програм, від OpenVPN, Tor, QUIC, SOCKS, BitTorrent та IPsec до Telegram, Viber, WhatsApp, PostgreSQL та звернень до GMail, Office365 GoogleDocs та YouTube. Існує декодувальник серверних та клієнтських SSL-сертифікатів, що дозволяє визначити протокол (наприклад, Citrix Online та Apple iCloud), використовуючи сертифікат шифрування. Для аналізу вмісту pcap-дампів або поточного трафіку через мережний інтерфейс постачається утиліта nDPIreader.
$ ./nDPIreader -i eth0 -s 20 -f «host 192.168.1.10» Відкриті протоколи: DNS пакети: 57 bytes: 7904 flows: 28 SSL_No_Cert пакети: 483 bytes: 229203 flows: : 6 DropBox пакетів: 136 bytes: 74702 flows: 4 Skype пакетів: 9 bytes: 668 flows: 3 Google пакетів: 5 bytes: 339 flows: 3
У новому випуску:
- Поліпшена підтримка методів аналізу шифрованого трафіку (ETA – Encrypted Traffic Analysis).
- Реалізована підтримка покращеного методу ідентифікації TLS-клієнтів JA3+, що дозволяє на основі особливостей узгодження з'єднань і параметрів, що задаються, визначати яке ПЗ використовується для встановлення з'єднання (наприклад, дозволяє визначити використання Tor та інших типових додатків). На відміну від раніше підтримуваного методу JA3, JA3+ відрізняється меншою кількістю помилкових спрацьовувань.
- Кількість мережних загроз і проблем, пов'язаних з ризиком компрометації (flow risk), розширено до 33. Додано нові визначники загроз, пов'язаних з наданням спільного доступу до робочого столу та файлів, підозрілим HTTP-трафіком, шкідливими JA3 та SHA1, зверненням до проблемних доменів і автономним системам, використанням TLS сертифікатів з підозрілими розширеннями або занадто довгим терміном дії.
- Проведено значну оптимізацію продуктивності, порівняно з гілкою 3.0, швидкість обробки трафіку зросла в 2.5 рази.
- Додана підтримка GeoIP для визначення розташування за IP-адресою.
- Доданий API для обчислення RSI (Relative Strenght Index).
- Реалізовано засоби управління фрагментацією.
- Доданий API до розрахунку однорідності потоку (jitter).
- Додана підтримка протоколів та сервісів: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (HPvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, , Siri), Z39.50.
- Покращено розбір та визначення протоколів AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook , RTSP за допомогою HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Джерело: opennet.ru