開發用於捕獲和分析流量的工具的 ntop 專案已發布 nDPI 4.4 深度資料包檢測工具包,該工具包繼續 OpenDPI 庫的開發。 nDPI 專案是在嘗試將變更推送到 OpenDPI 儲存庫失敗後成立的,該儲存庫無人維護。 nDPI 程式碼採用 C 語言編寫,並根據 LGPLv3 獲得許可。
該系統允許您確定流量中使用的應用程式級協議,分析網路活動的性質,而無需綁定到網路連接埠(它可以確定其處理程序接受非標準網路連接埠上的連接的眾所周知的協議,例如,如果http 不是從連接埠80 發送,或相反,他們試圖透過在連接埠80 上運行來將其他網路活動偽裝成http)。
與 OpenDPI 的差異主要在於對其他協定的支援以及向該平台的移植。 Windows效能優化、針對即時交通監控應用的適配(移除了一些會降低引擎速度的特定功能),以及建構為核心模組的能力 Linux 並支援定義子協定。
總共支援約 300 種協定和應用程式的定義,從 OpenVPN支援 Tor、QUIC、SOCKS、BitTorrent 和 IPsec 協議,可連接 Telegram、Viber、WhatsApp、PostgreSQL,並存取 Gmail、Office365、Google Docs 和 YouTube。提供伺服器和客戶端解碼器。 SSL 憑證它允許您使用加密憑證識別協定(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 公用程式用於分析 pcap 轉儲檔案或目前網路介面流量的內容。
在新版本中:
- 新增了有關針對特定威脅呼叫處理程序的原因的資訊的元資料。
- 新增了 ndpi_check_flow_risk_exceptions() 函數來連接網路威脅處理程序。
- 網路協定(例如 TLS)和應用程式協定(例如 Google 服務)之間已經進行了劃分。
- 新增了兩個新的隱私等級:NDPI_CONFIDENCE_DPI_PARTIAL 和 NDPI_CONFIDENCE_DPI_PARTIAL_CACHE。
- 新增範本以偵測 Cloudflare WARP 服務的使用情況
- hashmap 的內部實作已經被 uthash 取代。
- 更新了 Python 語言綁定。
- 預設情況下,使用內建的 gcrypt 實作(提供 --with-libgcrypt 選項以使用系統實作)。
- 偵測到的網路威脅和與危害風險(流量風險)相關的問題的範圍已經擴大。增加了對新威脅類型的支援:NDPI_PUNYCODE_IDN、NDPI_ERROR_CODE_DETECTED、NDPI_HTTP_CRAWLER_BOT 和 NDPI_ANONYMOUS_SUBSCRIBER。
- 新增了對協定和服務的支援:
- 無界瀏覽
- i3D
- 防暴遊戲
- 贊
- TunnelBear VPN
- 收藏
- PIM(協議獨立組播)
- 實用通用組播 (PGM)
- RSH
- GoTo 產品,例如 GoToMeeting
- 達贊
- MPEG-DASH
- Agora 軟件定義的實時網絡 (SD-RTN)
- Toca Boca
- 虛擬局域網
- DMNS/LLMNR
- 改進的協定解析和檢測:
- SMTP/SMTPS(新增了 STARTTLS 支援)
- OCSP
- TargusDataspeed
- 新聞組
- 數字傳輸系統
- TFTP
- 透過 HTTP 進行 SOAP
- 原神衝擊
- IPSec/ISAKMP
- DNS
- 系統日誌
- 的DHCP
- NATS
- Viber
- 小蜜
- Raknet
- 努特拉
- Kerberos的
- QUIC(增加了對 v2drft 01 規範的支援)
- 固態硬盤
- SNMP
- DGA
- AES-NI
來源: opennet.ru
