Проект ntop, який розвиває інструменти для захоплення та аналізу трафіку, опублікував випуск інструментарію для глибокого інспектування пакетів nDPI 4.8, що продовжує розвиток бібліотеки OpenDPI. Проект nDPI заснований після безуспішної спроби передачі змін до репозиторію OpenDPI, який залишився без супроводу. Код nDPI написаний мовою Сі та поширюється під ліцензією LGPLv3.
Система дозволяє визначати в трафіку використовувані протоколи рівня програми, аналізуючи характер мережевої активності без прив'язки до мережних портів (може визначати відомі протоколи, обробники яких приймають з'єднання на нестандартних мережевих портах, наприклад, якщо http віддається не з 80 порту, або, навпаки, коли яку іншу мережеву активність намагаються закамуфлювати під http через запуск на 80 порту).
Відмінності від OpenDPI зводяться до підтримки додаткових протоколів, портування для платформи Windows, оптимізації продуктивності, адаптації для застосування в додатках для моніторингу трафіку в режимі реального часу (прибрані деякі специфічні можливості, що уповільнювали двигун), можливості складання у формі модуля ядра Linux і підтримці .
Підтримується визначення 53 типу мережевих загроз (flow risk) та більше 350 протоколів та додатків (від OpenVPN, Tor, QUIC, SOCKS, BitTorrent та IPsec до Telegram, Viber, WhatsApp, PostgreSQL та звернень до Gmail, Office 365, Google Docs та YouTube) . Є декодувальник серверних та клієнтських SSL-сертифікатів, що дозволяє визначити протокол (наприклад, Citrix Online та Apple iCloud), використовуючи сертифікат шифрування. Для аналізу вмісту pcap-дампів або поточного трафіку через мережний інтерфейс постачається утиліта nDPIreader.
У новому випуску:
- На порядки знижено споживання пам'яті завдяки переробці реалізації списків.
- Розширено підтримку IPv6.
- Додано нові ідентифікатори протоколів, пов'язані з контентом для дорослих, рекламою, web-аналітикою та відстеженням переміщень.
- Додана підтримка протоколів та сервісів:
- HAProxy
- Ощадливість Apache
- RMCP (Remote Management Control Protocol)
- SLP (Service Location Protocol)
- Біткойн
- HTTP/2 без шифрування
- SRTP (Secure Real-time Transport)
- BACnet
- OICQ (китайський месенджер)
- Додано визначення OperaVPN і ProtonVPN. Поліпшено визначення Wireguard.
- Реалізовано евристику для виявлення повністю шифрованих потоків трафіку.
- Додано визначення серівісів Yandex та VK.
- Додано визначення рілсів та сторіс Facebook.
- Додано визначення ігрової платформи Roblox, хмарного сервісу NVIDIA GeForceNow, ігор компанії Epic Games, ігри Heroes of the Storm.
- Поліпшено визначення трафіку від пошукових роботів.
- Поліпшено розбір та визначення протоколів та сервісів:
- Gnutella
- H323
- HTTP
- тусовка
- Команди MS
- Alibaba
- MGCP
- пар
- MySQL
- Zabbix
- Розширено спектр мережевих загроз і проблем, пов'язаних з ризиком компрометації (flow risk). Додано підтримку нових типів загроз: NDPI_MALWARE_HOST_CONTACTED та NDPI_TLS_ALPN_SNI_MISMATCH.
- Організовано fuzzing-тестування для виявлення проблем із надійністю.
- Вирішені проблеми зі складанням у FreeBSD.
Джерело: opennet.ru