I ntop sviluppatori di progetti (che sviluppano strumenti per catturare e analizzare il traffico) reso noto recentemente rilasciato la nuova versione di nDPI, che è un superset di manutenzione in corso della popolare libreria OpenDP.
nDPI Si caratterizza per essere utilizzato sia da ntop che da nProbe per aggiungere il rilevamento dei protocolli a livello di applicazione, indipendentemente dalla porta utilizzata. Ciò significa che è possibile rilevare protocolli noti su porte non standard.
El proyecto consente di determinare i protocolli a livello di applicazione utilizzati nel traffico analizzando la natura dell'attività di rete senza vincolarsi alle porte di rete (è possibile determinare protocolli noti i cui driver accettano connessioni su porte di rete non standard, ad esempio se http viene inviato non dalla porta 80 o, al contrario, quando cercano di camuffare altri attività di rete come http in esecuzione sulla porta 80).
Le differenze con OpenDPI sono ridotte al supporto per protocolli aggiuntivi, portabilità per la piattaforma Windows, ottimizzazione delle prestazioni, adattamento per l'utilizzo in applicazioni per monitorare il traffico in tempo reale (sono state rimosse alcune funzionalità specifiche che rallentavano il motore), capacità di build sotto forma di modulo del kernel Linux e supporto per la definizione di sub -protocolli.
In totale, Sono supportate 247 definizioni di applicazioni e protocolli, di cui spiccano le seguenti: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, Skype , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket, tra gli altri.
Principali nuove funzionalità di nDPI 4.0
Per quanto riguarda le novità presentate in questa nuova versione 4.0, è stata potenziata in termini di velocità con un miglioramento di 2.5 rispetto alla serie 3.x.
Da parte dei cambiamenti, possiamo scoprire che è stato implementato supporto per il metodo di identificazione client JA3 + TLS migliorato, che consente, in base alle caratteristiche di negoziazione della connessione e ai parametri specificati, di determinare quale software viene utilizzato per stabilire una connessione (ad esempio, consente di determinare l'uso di Tor e altre applicazioni tipiche).
Anche il numero di rilevamenti di minacce di rete e problemi associati al rischio di compromissione è stato ampliato (rischio di flusso) a 33, oltre a nuovi identificatori di minaccia correlati alla condivisione di desktop e file aggiunti, traffico HTTP sospetto, JA3 e SHA1 dannosi, accesso a domini problematici e sistemi autonomi, utilizzo di certificati in TLS con estensioni sospette o date di scadenza troppo lunghe.
Possiamo anche trovarlo è stato aggiunto più supporto per protocolli e servizi, di cui ora possiamo trovare: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Mentre per screening e servizi di screening che sono stati migliorati in questa nuova versione sono menzionati: AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC , Protocolli RTSP, RTSP su HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Tra gli altri cambiamenti che si distinguono della nuova versione:
- Supporto migliorato per i metodi di analisi del traffico crittografato (ETA).
- A differenza del metodo JA3 precedentemente supportato, JA3 + ha meno falsi positivi.
- È stata effettuata una significativa ottimizzazione delle prestazioni, rispetto al ramo 3.0, la velocità di elaborazione del traffico è stata aumentata di 2.5 volte.
- È stato aggiunto il supporto GeoIP per determinare la posizione in base all'indirizzo IP.
- Aggiunta API per calcolare l'RSI (indice di forza relativa).
- Sono stati implementati controlli di frammentazione.
- Aggiunta API per calcolare l'uniformità del flusso (jitter).
Infine se sei interessato a saperne di più, puoi controllare i dettagli nel seguente link