開發用於捕獲和分析流量的工具的 ntop 專案已發布 nDPI 4.4 深度資料包檢測工具包,該工具包繼續 OpenDPI 庫的開發。 nDPI 專案是在嘗試將變更推送到 OpenDPI 儲存庫失敗後成立的,該儲存庫無人維護。 nDPI 程式碼採用 C 語言編寫,並根據 LGPLv3 獲得許可。
該系統允許您確定流量中使用的應用程式級協議,分析網路活動的性質,而無需綁定到網路連接埠(它可以確定其處理程序接受非標準網路連接埠上的連接的眾所周知的協議,例如,如果http 不是從連接埠80 發送,或相反,他們試圖透過在連接埠80 上運行來將其他網路活動偽裝成http)。
與 OpenDPI 的差異包括對附加協定的支援、移植到 Windows 平台、效能最佳化、適用於即時流量監控應用程式(刪除了一些減慢引擎速度的特定功能)、以Linux 核心模組,並支援定義子協定。
總共支援約 300 種協定和應用程式的定義,從 OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 到 Telegram、Viber、WhatsApp、PostgreSQL 以及對 GMail、Office365、GoogleDocs 和 YouTube 的呼叫。 有一個伺服器和用戶端 SSL 憑證解碼器,可讓您使用加密憑證確定協定(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 實用程式用於分析 pcap 轉儲的內容或透過網路介面的目前流量。
在新版本中:
- 新增了元數據,其中包含有關針對特定威脅呼叫處理程序的原因的資訊。
- 新增了 ndpi_check_flow_risk_exceptions() 函數用於連接網路威脅處理程序。
- 分為網路協定(例如 TLS)和應用程式協定(例如 Google 服務)。
- 新增了兩個新的隱私等級:NDPI_CONFIDENCE_DPI_PARTIAL 和 NDPI_CONFIDENCE_DPI_PARTIAL_CACHE。
- 新增了模板來定義 Cloudflare WARP 服務的使用
- 內部 hashmap 實作已替換為 uthash。
- 更新了 Python 語言綁定。
- 預設情況下,啟用內建 gcrypt 實作(提供 --with-libgcrypt 選項來使用系統實作)。
- 已識別的網路威脅和與危害風險(流量風險)相關的問題的範圍已擴大。 新增了對新威脅類型的支援:NDPI_PUNYCODE_IDN、NDPI_ERROR_CODE_DETECTED、NDPI_HTTP_CRAWLER_BOT 和 NDPI_ANONYMOUS_SUBSCRIBER。
- 新增了對協定和服務的支援:
- 無界瀏覽
- i3D
- 防暴遊戲
- 贊
- TunnelBear VPN
- 收藏
- PIM(協議獨立組播)
- 實用通用組播 (PGM)
- RSH
- GoTo 產品,例如 GoToMeeting
- 達贊
- MPEG-DASH
- Agora 軟件定義的實時網絡 (SD-RTN)
- Toca Boca
- 虛擬局域網
- DMNS/LLMNR
- 改進的協定解析和檢測:
- SMTP/SMTPS(已新增 STARTTLS 支援)
- OCSP
- 泰格斯數據速度
- 新聞組
- 數字傳輸系統
- TFTP
- 透過 HTTP 的 SOAP
- 原神衝擊
- IPSec/ISAKMP
- DNS
- 系統日誌
- 的DHCP
- NATS
- Viber
- 小蜜
- 拉克內特
- 努特拉
- Kerberos的
- QUIC(增加了對 v2drft 01 規範的支援)
- 固態硬盤
- SNMP
- DGA
- AES-NI
來源: opennet.ru