Проект ntop, який розвиває інструменти для захоплення та аналізу трафіку, опублікував випуск інструментарію для глибокого інспектування пакетів nDPI 4.4, що продовжує розвиток бібліотеки OpenDPI. Проект nDPI заснований після безуспішної спроби передачі змін до репозиторію OpenDPI, який залишився без супроводу. Код nDPI написаний мовою Сі та поширюється під ліцензією LGPLv3.
Система дозволяє визначати в трафіку використовувані протоколи рівня програми, аналізуючи характер мережевої активності без прив'язки до мережних портів (може визначати відомі протоколи, обробники яких приймають з'єднання на нестандартних мережевих портах, наприклад, якщо http віддається не з 80 порту, або, навпаки, коли яку іншу мережеву активність намагаються закамуфлювати під http через запуск на 80 порту).
Відмінності від OpenDPI зводяться до підтримки додаткових протоколів, портування для платформи Windows, оптимізації продуктивності, адаптації для застосування в додатках для моніторингу трафіку в режимі реального часу (прибрані деякі специфічні можливості, що уповільнювали двигун), можливості складання у формі модуля ядра Linux і підтримці .
Усього підтримується визначення близько 300 протоколів та додатків, від OpenVPN, Tor, QUIC, SOCKS, BitTorrent та IPsec до Telegram, Viber, WhatsApp, PostgreSQL та звернень до GMail, Office365, GoogleDocs та YouTube. Є декодувальник серверних та клієнтських SSL-сертифікатів, що дозволяє визначити протокол (наприклад, Citrix Online та Apple iCloud), використовуючи сертифікат шифрування. Для аналізу вмісту pcap-дампів або поточного трафіку через мережний інтерфейс постачається утиліта nDPIreader.
У новому випуску:
- Додані метадані з інформацією про причину виклику оброблювача для тієї чи іншої загрози.
- Додано функцію ndpi_check_flow_risk_exceptions() для підключення обробників мережних загроз.
- Виконано розділення на мережеві протоколи (наприклад, TLS) та прикладні протоколи (наприклад, сервіси Google).
- Додано два нові рівні конфіденційності: NDPI_CONFIDENCE_DPI_PARTIAL та NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Додано шаблон для визначення використання сервісу Cloudflare WARP
- Внутрішня реалізація hashmap замінена на uthash.
- Оновлено прив'язки до мови Python.
- За замовчуванням задіяно вбудовану реалізацію gcrypt (для використання системної реалізації запропоновано опцію —with-libgcrypt).
- Розширено спектр мережевих загроз і проблем, пов'язаних з ризиком компрометації (flow risk). Додано підтримку нових типів загроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT та NDPI_ANONYMOUS_SUBSCRIBER.
- Додана підтримка протоколів та сервісів:
- UltraSurf
- i3D
- riotgames
- ЦАН
- TunnelBear VPN
- зібрано
- PIM (незалежна від протоколу групова розсилка)
- Pragmatic General Multicast (PGM)
- RSH
- Продукти GoTo, такі як GoToMeeting
- Дазн
- MPEG-DASH
- Програмно визначена мережа реального часу Agora (SD-RTN)
- Тока Бока
- VXLAN
- DMNS/LLMNR
- Поліпшено розбір та визначення протоколів:
- SMTP/SMTPS (додана підтримка STARTTLS)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP via HTTP
- Genshin Impact
- IPSec/ISAKMP
- DNS
- системний журнал
- DHCP
- НАТИ
- Viber
- Xiaomi
- Raknet
- гнутелла
- Керберос
- QUIC (додана підтримка специфікації v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Джерело: opennet.ru