Los pengembang proyek ntop (yang mengembangkan alat untuk menangkap dan menganalisis lalu lintas) diberitahukan baru-baru ini dirilis nDPI versi baru, yang merupakan superset pemeliharaan berkelanjutan dari pustaka OpenDP yang populer.
nDPI Hal ini ditandai dengan digunakan oleh ntop dan nProbe untuk menambahkan deteksi protokol pada lapisan aplikasi, terlepas dari port yang digunakan. Ini berarti dimungkinkan untuk mendeteksi protokol yang diketahui pada port non-standar.
Proyek memungkinkan Anda untuk menentukan protokol tingkat aplikasi yang digunakan dalam lalu lintas dengan menganalisis sifat aktivitas jaringan tanpa mengikat port jaringan (Anda dapat menentukan protokol yang dikenal yang drivernya menerima koneksi pada port jaringan non-standar, misalnya jika http dikirim bukan dari port 80, atau, sebaliknya, ketika mereka mencoba menyamarkan yang lain aktivitas jaringan seperti http yang berjalan pada port 80).
Perbedaan dengan OpenDPI bermuara pada dukungan untuk protokol tambahan, portabilitas untuk platform Windows, optimasi kinerja, adaptasi untuk digunakan dalam aplikasi untuk memantau lalu lintas secara real time (beberapa fitur khusus yang memperlambat mesin telah dihapus), membangun kemampuan dalam bentuk modul kernel Linux dan dukungan untuk mendefinisikan sub -protokol.
En total, 247 definisi aplikasi dan protokol yang didukung, yang berikut ini menonjol:: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey , Skype , Sinyal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Documents, File WhatsApp, Targus Dataspeed, Zabbix, WebSocket, dan lainnya.
Fitur baru utama nDPI 4.0
Adapun hal baru yang disajikan dalam versi 4.0 baru ini, telah ditingkatkan dalam hal kecepatan dengan peningkatan 2.5 sehubungan dengan seri 3.x.
Pada bagian dari perubahan, kita dapat menemukan bahwa itu diterapkan dukungan untuk metode identifikasi klien JA3 + TLS yang ditingkatkan, yang memungkinkan, berdasarkan karakteristik negosiasi koneksi dan parameter yang ditentukan, untuk menentukan perangkat lunak apa yang digunakan untuk membuat koneksi (misalnya, memungkinkan untuk menentukan penggunaan Tor dan aplikasi tipikal lainnya).
Juga jumlah deteksi ancaman jaringan dan masalah yang terkait dengan risiko kompromi telah diperluas (risiko aliran) ke 33, ditambah pengidentifikasi ancaman terkait desktop dan berbagi file baru yang ditambahkan, lalu lintas HTTP yang mencurigakan, JA3 dan SHA1, akses ke domain bermasalah dan sistem otonom, penggunaan sertifikat di TLS dengan ekstensi yang mencurigakan atau tanggal kedaluwarsa terlalu lama.
Kami juga dapat menemukannya lebih banyak dukungan untuk protokol dan layanan telah ditambahkan, di antaranya sekarang dapat kita temukan: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, Manajemen Grup Mesin Virtual HP (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Asisten Virtual ( Alexa, Siri), Z39.50.
Sedangkan untuk layanan penyaringan dan penyaringan yang ditingkatkan dalam versi baru ini disebutkan: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Protokol RTSP, RTSP melalui HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Dari perubahan lain yang menonjol dari versi baru:
- Peningkatan dukungan untuk metode analisis lalu lintas terenkripsi (ETA).
- Berbeda dengan metode JA3 yang didukung sebelumnya, JA3 + memiliki lebih sedikit positif palsu.
- Optimalisasi kinerja yang signifikan telah dilakukan, dibandingkan dengan cabang 3.0, kecepatan pemrosesan lalu lintas meningkat 2.5 kali lipat.
- Dukungan GeoIP ditambahkan untuk menentukan lokasi berdasarkan alamat IP.
- Menambahkan API untuk menghitung RSI (Relative Strength Index).
- Kontrol fragmentasi telah diterapkan.
- Menambahkan API untuk menghitung keseragaman aliran (jitter).
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya Di tautan berikut.