開發用於捕獲和分析流量的工具的 ntop 專案已發布 nDPI 4.8 深度資料包檢測工具包,該工具包繼續 OpenDPI 庫的開發。 nDPI 專案是在嘗試將變更推送到 OpenDPI 儲存庫失敗後成立的,該儲存庫無人維護。 nDPI 程式碼採用 C 語言編寫,並根據 LGPLv3 獲得許可。
該系統允許您確定流量中使用的應用程式級協議,分析網路活動的性質,而無需綁定到網路連接埠(它可以確定其處理程序接受非標準網路連接埠上的連接的眾所周知的協議,例如,如果http 不是從連接埠80 發送,或相反,他們試圖透過在連接埠80 上運行來將其他網路活動偽裝成http)。
與 OpenDPI 的差異包括對附加協定的支援、移植到 Windows 平台、效能最佳化、適用於即時流量監控應用程式(刪除了一些減慢引擎速度的特定功能)、以Linux 核心模組,並支援定義子協定。
支援偵測53 種網路威脅(流量風險)和350 多種協定和應用程式(從OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和IPsec 到Telegram、Viber、WhatsApp、PostgreSQL 以及對Gmail、Office 365、Google Docs 的調用)和 YouTube)。 有一個伺服器和用戶端 SSL 憑證解碼器,可讓您使用加密憑證確定協定(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 實用程式用於分析 pcap 轉儲的內容或透過網路介面的目前流量。
在新版本中:
- 由於重新設計了列表的實現,記憶體消耗已減少了幾個數量級。
- IPv6 支援已擴充。
- 新增了與成人內容、廣告、網路分析和追蹤相關的新協議標識符。
- 新增了對協定和服務的支援:
- HAProxy的
- 阿帕契節儉
- RMCP(遠端管理控制協定)
- SLP(服務定位協定)
- 比特幣
- 不加密的 HTTP/2
- SRTP(安全即時傳輸)
- BACnet的
- OICQ(中文通訊軟體)
- 新增了 OperaVPN 和 ProtonVPN 的定義。 改進了 Wireguard 檢測。
- 實施啟發式方法來識別完全加密的流量。
- 新增了 Yandex 和 VK 服務的定義。
- 新增了對 Facebook 捲軸和故事的偵測。
- 新增了 Roblox 遊戲平台、NVIDIA GeForceNow 雲端服務、Epic Games 遊戲以及《風暴英雄》遊戲的定義。
- 改進了對搜尋機器人流量的檢測。
- 改進協定和服務的解析和識別:
- 格努泰勒
- H323
- HTTP
- 小聚
- MS隊
- 阿里巴巴
- 管理控製程序
- 蒸汽
- MySQL的
- ZABBIX
- 已識別的網路威脅和與危害風險(流量風險)相關的問題的範圍已擴大。 新增了對新威脅類型的支援:NDPI_MALWARE_HOST_CONTACTED 和 NDPI_TLS_ALPN_SNI_MISMATCH。
- 組織模糊測驗是為了識別可靠性問題。
- 在 FreeBSD 上建置的問題已解決。
來源: opennet.ru