开发用于捕获和分析流量的工具的 ntop 项目已发布 nDPI 4.8 深度数据包检测工具包,该工具包继续 OpenDPI 库的开发。 nDPI 项目是在尝试将更改推送到 OpenDPI 存储库失败后成立的,该存储库无人维护。 nDPI 代码是用 C 语言编写的,并根据 LGPLv3 许可证获得许可。
该系统允许您确定流量中使用的应用程序级协议,分析网络活动的性质,而无需绑定到网络端口(它可以确定其处理程序接受非标准网络端口上的连接的众所周知的协议,例如,如果 http 不是从端口 80 发送,或者相反,他们试图通过在端口 80 上运行来将其他网络活动伪装成 http)。
与 OpenDPI 的差异包括对附加协议的支持、移植到 Windows 平台、性能优化、适用于实时流量监控应用程序(删除了一些减慢引擎速度的特定功能)、以Linux 内核模块,并支持定义子协议。
支持检测 53 种网络威胁(流量风险)和 350 多种协议和应用程序(从 OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 到 Telegram、Viber、WhatsApp、PostgreSQL 以及对 Gmail、Office 365、Google Docs 的调用)和 YouTube)。 有一个服务器和客户端 SSL 证书解码器,允许您使用加密证书确定协议(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 实用程序用于分析 pcap 转储的内容或通过网络接口的当前流量。
在新版本中:
- 由于重新设计了列表的实现,内存消耗已减少了几个数量级。
- IPv6 支持已得到扩展。
- 添加了与成人内容、广告、网络分析和跟踪相关的新协议标识符。
- 添加了对协议和服务的支持:
- HAProxy的
- 阿帕奇节俭
- RMCP(远程管理控制协议)
- SLP(服务定位协议)
- 比特币
- 不加密的 HTTP/2
- SRTP(安全实时传输)
- BACnet的
- OICQ(中文通讯软件)
- 添加了 OperaVPN 和 ProtonVPN 的定义。 改进了 Wireguard 检测。
- 实施启发式方法来识别完全加密的流量。
- 添加了 Yandex 和 VK 服务的定义。
- 添加了对 Facebook 卷轴和故事的检测。
- 添加了 Roblox 游戏平台、NVIDIA GeForceNow 云服务、Epic Games 游戏以及《风暴英雄》游戏的定义。
- 改进了对搜索机器人流量的检测。
- 改进协议和服务的解析和识别:
- 格努泰勒
- H323
- HTTP
- 小聚
- MS队
- 阿里巴巴
- 管理控制程序
- 蒸汽
- MySQL的
- ZABBIX
- 已识别的网络威胁和与危害风险(流量风险)相关的问题的范围已扩大。 添加了对新威胁类型的支持:NDPI_MALWARE_HOST_CONTACTED 和 NDPI_TLS_ALPN_SNI_MISMATCH。
- 组织模糊测试是为了识别可靠性问题。
- 在 FreeBSD 上构建的问题已得到解决。
来源: opennet.ru