Dự án ntop phát triển các công cụ để nắm bắt và phân tích lưu lượng truy cập đã xuất bản bản phát hành bộ công cụ kiểm tra gói sâu nDPI 4.4, tiếp tục phát triển thư viện OpenDPI. Dự án nDPI được thành lập sau một nỗ lực không thành công trong việc thúc đẩy các thay đổi đối với kho lưu trữ OpenDPI, vốn không được bảo trì. Mã nDPI được viết bằng C và được cấp phép theo LGPLv3.
Hệ thống cho phép bạn xác định các giao thức cấp ứng dụng được sử dụng trong lưu lượng truy cập, phân tích bản chất của hoạt động mạng mà không bị ràng buộc với các cổng mạng (ví dụ: nó có thể xác định các giao thức nổi tiếng mà trình xử lý của chúng chấp nhận kết nối trên các cổng mạng không chuẩn). nếu http không được gửi từ cổng 80 hoặc ngược lại, khi họ đang cố gắng ngụy trang hoạt động mạng khác dưới dạng http bằng cách chạy nó trên cổng 80).
Sự khác biệt so với OpenDPI nằm ở việc hỗ trợ thêm các giao thức và việc chuyển đổi sang nền tảng này. WindowsCác cải tiến bao gồm tối ưu hóa hiệu năng, điều chỉnh để sử dụng trong các ứng dụng giám sát giao thông thời gian thực (loại bỏ một số tính năng cụ thể làm chậm hoạt động của engine), và khả năng biên dịch thành một module kernel. Linux và hỗ trợ cho việc định nghĩa các giao thức con.
Tổng cộng, hệ thống hỗ trợ định nghĩa cho khoảng 300 giao thức và ứng dụng, từ... OpenVPNHỗ trợ Tor, QUIC, SOCKS, BitTorrent và IPsec cho Telegram, Viber, WhatsApp, PostgreSQL, và truy cập vào GMail, Office365, GoogleDocs và YouTube. Có sẵn bộ giải mã máy chủ và máy khách. Chứng chỉ SSLCông cụ này cho phép bạn xác định một giao thức (ví dụ: Citrix Online và Apple iCloud) bằng cách sử dụng chứng chỉ mã hóa. Tiện ích nDPIreader được cung cấp để phân tích nội dung của các bản ghi pcap hoặc lưu lượng giao diện mạng hiện tại.
Trong bản phát hành mới:
- Đã thêm siêu dữ liệu với thông tin về lý do gọi trình xử lý về một mối đe dọa cụ thể.
- Đã thêm chức năng ndpi_check_flow_risk_Exceptions() để kết nối các trình xử lý mối đe dọa mạng.
- Sự phân chia đã được chia thành các giao thức mạng (ví dụ: TLS) và các giao thức ứng dụng (ví dụ: các dịch vụ của Google).
- Đã thêm hai cấp độ bảo mật mới: NDPI_CONFIDENCE_DPI_PARTIAL và NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Đã thêm mẫu để xác định việc sử dụng dịch vụ Cloudflare WARP
- Việc triển khai hashmap nội bộ đã được thay thế bằng uthash.
- Đã cập nhật các ràng buộc ngôn ngữ Python.
- Theo mặc định, việc triển khai gcrypt tích hợp được bật (tùy chọn --with-libgcrypt được cung cấp để sử dụng việc triển khai hệ thống).
- Phạm vi của các mối đe dọa mạng được xác định và các vấn đề liên quan đến nguy cơ bị xâm phạm (rủi ro luồng) đã được mở rộng. Đã thêm hỗ trợ cho các loại mối đe dọa mới: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT và NDPI_ANONYMOUS_SUBSCRIBER.
- Đã thêm hỗ trợ cho các giao thức và dịch vụ:
- Siêu lướt
- i3D
- Trò chơi bạo loạn
- tsan
- TunnelBear VPN
- sưu tầm
- PIM (Đa phương thức độc lập với giao thức)
- Multicast chung thực dụng (PGM)
- RSH
- Các sản phẩm của GoTo như GoToMeeting
- Ngạc nhiên
- MPEG-DASH
- Mạng thời gian thực do phần mềm Agora xác định (SD-RTN)
- Toca Boca
- VXLAN
- DMNS / LLMNR
- Cải thiện khả năng phân tích và phát hiện giao thức:
- SMTP/SMTPS (đã thêm hỗ trợ STARTTLS)
- OCSP
- TargusTốc độ dữ liệu
- mạng sử dụng
- DTLS
- TFTP
- SOAP qua HTTP
- GenshinImpact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NAT
- Viber
- Xiaomi
- Raknet
- bệnh gút
- Kerberos
- QUIC (hỗ trợ thêm cho thông số kỹ thuật v2drft 01)
- SSDP
- SNMP
- DGA
- AES-NI
Nguồn: opennet.ru
