L ntop vývojáři projektů (kteří vyvíjejí nástroje pro zachycení a analýzu provozu) oznámeno nedávno vydané nová verze nDPI, což je pokračující údržba nadmnožiny populární knihovny OpenDP.
nDPI Je charakterizován tím, že jej používají ntop i nProbe k přidání detekce protokolů na aplikační vrstvě, bez ohledu na používaný port. To znamená, že je možné detekovat známé protokoly na nestandardních portech.
El Proyecto umožňuje určit protokoly na úrovni aplikace používané v provozu analýzou povahy síťové aktivity bez vazby na síťové porty (můžete určit známé protokoly, jejichž ovladače přijímají připojení na nestandardních síťových portech, například pokud není http odeslán z portu 80, nebo naopak, když se pokoušejí maskovat jiné síťová aktivita, jako je http běžící na portu 80).
Rozdíly s OpenDPI jsou sníženy na podporu dalších protokolů, přenositelnost pro platformu Windows, optimalizace výkonu, adaptace pro použití v aplikacích pro sledování provozu v reálném čase (některé specifické funkce, které zpomalovaly motor, byly odstraněny), budování schopností ve formě modulu jádra Linuxu a podpora pro definování sub -protokoly.
Celkem, Podporováno je 247 definic aplikací a protokolů, z nichž vyniká následující: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket a další.
Hlavní nové funkce nDPI 4.0
Pokud jde o novinky, které jsou v této nové verzi 4.0 představeny, byla vylepšena z hlediska rychlosti se zlepšením o 2.5 oproti sérii 3.x.
Na straně změn můžeme zjistit, že byla implementována podpora vylepšené metody identifikace klienta JA3 + TLS, který umožňuje na základě charakteristik vyjednávání připojení a zadaných parametrů určit, jaký software se používá k navázání připojení (například umožňuje určit použití Tor a dalších typických aplikací).
Také byl rozšířen počet zjišťování síťových hrozeb a problémů spojených s kompromisním rizikem (riziko toku) na 33, plus přidány nové identifikátory hrozeb související se sdílením plochy a souborů, podezřelý provoz HTTP, škodlivé JA3 a SHA1, přístup k problematickým doménám a autonomním systémům, používání certifikátů v TLS s podezřelými rozšířeními nebo příliš dlouhá data vypršení platnosti.
Můžeme to také najít byla přidána další podpora pro protokoly a služby, z nichž nyní můžeme najít: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Zatímco pro screeningové a screeningové služby, které byly vylepšeny v této nové verzi jsou uvedeny: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Protokoly RTSP, RTSP přes HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Z dalších změn, které vynikají nové verze:
- Vylepšená podpora pro metody šifrovaného provozu (ETA).
- Na rozdíl od dříve podporované metody JA3 má JA3 + méně falešných poplachů.
- Byla provedena významná optimalizace výkonu, ve srovnání s větví 3.0 byla rychlost zpracování provozu zvýšena 2.5krát.
- Byla přidána podpora GeoIP pro určení polohy podle IP adresy.
- Přidáno API pro výpočet RSI (Relative Strength Index).
- Byly implementovány ovládací prvky fragmentace.
- Přidáno API pro výpočet rovnoměrnosti toku (chvění).
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.