Лос разработчици на проекти на ntop (които разработват инструменти за улавяне и анализ на трафика) направени известни наскоро освободен новата версия на nDPI, което е непрекъснато поддържащо множество от популярната OpenDP библиотека.
nDPI Характеризира се с това, че се използва както от ntop, така и от nProbe за добавяне на откриване на протоколи на приложния слой, независимо от използвания порт. Това означава, че е възможно да се открият известни протоколи на нестандартни портове.
Проектът ви позволява да определите протоколите на ниво приложение, използвани в трафика чрез анализ на естеството на мрежовата активност без обвързване с мрежови портове (можете да определите известни протоколи, чиито драйвери приемат връзки на нестандартни мрежови портове, например ако http не се изпраща от порт 80, или обратно, когато се опитват да маскират други мрежова активност, като например http, работеща на порт 80).
Разликите с OpenDPI се свеждат до поддръжка на допълнителни протоколи, преносимост за платформата на Windows, оптимизация на производителността, адаптация за използване в приложения за наблюдение на трафика в реално време (някои специфични функции, които забавят двигателя са премахнати), изграждане на възможности под формата на модул на ядрото на Linux и поддръжка за дефиниране на под -протоколи.
Като цяло, Поддържат се 247 дефиниции на приложения и протоколи, от които се открояват следните: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, Skype , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_One Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp файлове, Targus Dataspeed, Zabbix, WebSocket и др.
Основни нови функции на nDPI 4.0
По отношение на новостите, които са представени в тази нова версия 4.0, тя е увеличена по отношение на скоростта с подобрение от 2.5 по отношение на серията 3.x.
От страна на промените можем да открием, че е внедрена поддръжка за подобрен метод за идентификация на клиента JA3 + TLS, което позволява въз основа на характеристиките за договаряне на връзката и посочените параметри да се определи какъв софтуер се използва за установяване на връзка (например позволява да се определи използването на Tor и други типични приложения).
Също броят на откриванията на мрежови заплахи и проблеми, свързани с риск от компромис, е разширен (риск от поток) до 33, плюс добавени нови идентификатори на заплаха, свързани със споделяне на настолни компютри и файлове, подозрителен HTTP трафик, злонамерен JA3 и SHA1, достъп до проблемни домейни и автономни системи, използване на сертификати в TLS със съмнителни разширения или твърде дълги дати на изтичане.
Можем да открием и това добавена е повече поддръжка за протоколи и услуги, от които сега можем да намерим: Сред Us, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Докато за скрининг и скрининг услуги, които са подобрени в тази нова версия се споменават: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , RTSP протоколи, RTSP през HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, телохранител.
От останалите промени, които се открояват на новата версия:
- Подобрена поддръжка за методите за анализ на криптиран трафик (ETA).
- За разлика от досега поддържания метод JA3, JA3 + има по -малко фалшиви положителни резултати.
- Направена е значителна оптимизация на производителността, в сравнение с клона 3.0, скоростта на обработка на трафика е увеличена 2.5 пъти.
- Добавена е поддръжка на GeoIP за определяне на местоположението по IP адрес.
- Добавен API за изчисляване на RSI (Relative Strength Index).
- Въведени са контролите за фрагментация.
- Добавен API за изчисляване на равномерност на потока (трептене).
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.