开发用于捕获和分析流量的工具的 ntop 项目已发布 nDPI 4.4 深度数据包检测工具包,该工具包继续 OpenDPI 库的开发。 nDPI 项目是在尝试将更改推送到 OpenDPI 存储库失败后成立的,该存储库无人维护。 nDPI 代码是用 C 语言编写的,并根据 LGPLv3 许可证获得许可。
该系统允许您确定流量中使用的应用程序级协议,分析网络活动的性质,而无需绑定到网络端口(它可以确定其处理程序接受非标准网络端口上的连接的众所周知的协议,例如,如果 http 不是从端口 80 发送,或者相反,他们试图通过在端口 80 上运行来将其他网络活动伪装成 http)。
与 OpenDPI 的差异包括对附加协议的支持、移植到 Windows 平台、性能优化、适用于实时流量监控应用程序(删除了一些减慢引擎速度的特定功能)、以Linux 内核模块,并支持定义子协议。
总共支持约 300 种协议和应用程序的定义,从 OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 到 Telegram、Viber、WhatsApp、PostgreSQL 以及对 GMail、Office365、GoogleDocs 和 YouTube 的调用。 有一个服务器和客户端 SSL 证书解码器,允许您使用加密证书确定协议(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 实用程序用于分析 pcap 转储的内容或通过网络接口的当前流量。
在新版本中:
- 添加了元数据,其中包含有关针对特定威胁调用处理程序的原因的信息。
- 添加了 ndpi_check_flow_risk_exceptions() 函数用于连接网络威胁处理程序。
- 分为网络协议(例如 TLS)和应用程序协议(例如 Google 服务)。
- 添加了两个新的隐私级别:NDPI_CONFIDENCE_DPI_PARTIAL 和 NDPI_CONFIDENCE_DPI_PARTIAL_CACHE。
- 添加了模板来定义 Cloudflare WARP 服务的使用
- 内部 hashmap 实现已替换为 uthash。
- 更新了 Python 语言绑定。
- 默认情况下,启用内置 gcrypt 实现(提供 --with-libgcrypt 选项来使用系统实现)。
- 已识别的网络威胁和与危害风险(流量风险)相关的问题的范围已扩大。 添加了对新威胁类型的支持:NDPI_PUNYCODE_IDN、NDPI_ERROR_CODE_DETECTED、NDPI_HTTP_CRAWLER_BOT 和 NDPI_ANONYMOUS_SUBSCRIBER。
- 添加了对协议和服务的支持:
- 无界浏览
- i3D
- 防暴游戏
- 赞
- TunnelBear VPN
- 收藏
- PIM(协议独立组播)
- 实用通用组播 (PGM)
- RSH
- GoTo 产品,例如 GoToMeeting
- Dazn
- MPEG-DASH
- Agora 软件定义的实时网络 (SD-RTN)
- 托卡博卡
- VXLAN
- DMNS/LLMNR
- 改进的协议解析和检测:
- SMTP/SMTPS(已添加 STARTTLS 支持)
- OCSP
- 泰格斯数据速度
- 新闻组
- DTLS
- TFTP
- 通过 HTTP 的 SOAP
- 原心冲击
- IPSec/ISAKMP
- DNS
- 系统日志
- DHCP
- NATS
- Viber
- 小米
- 拉克内特
- 努特拉
- Kerberos的
- QUIC(增加了对 v2drft 01 规范的支持)
- 固态硬盘
- SNMP
- DGA
- AES-NI
来源: opennet.ru