The pembangun projek ntop (yang mengembangkan alat untuk menangkap dan menganalisis lalu lintas) dimaklumkan baru dikeluarkan versi baru nDPI, yang merupakan superset penyelenggaraan berterusan dari perpustakaan OpenDP yang popular.
nDPI Ia dicirikan oleh penggunaan ntop dan nProbe untuk menambahkan pengesanan protokol pada lapisan aplikasi, tanpa mengira port yang digunakan. Ini bermaksud bahawa mungkin untuk mengesan protokol yang diketahui pada port yang tidak standard.
Projek itu membolehkan anda menentukan protokol peringkat aplikasi yang digunakan dalam lalu lintas dengan menganalisis sifat aktiviti rangkaian tanpa mengikat port rangkaian (anda dapat menentukan protokol yang diketahui yang drivernya menerima sambungan pada port rangkaian bukan standard, misalnya jika http dihantar bukan dari port 80, atau, sebaliknya, ketika mereka cuba menyamarkan yang lain aktiviti rangkaian seperti http berjalan di port 80).
Perbezaan dengan OpenDPI dikurangkan untuk menyokong protokol tambahan, mudah alih untuk platform Windows, pengoptimuman prestasi, penyesuaian untuk digunakan dalam aplikasi untuk memantau lalu lintas dalam masa nyata (beberapa ciri khusus yang memperlambat mesin telah dikeluarkan), membangun kemampuan dalam bentuk modul kernel Linux dan sokongan untuk menentukan sub -protokol.
Secara keseluruhannya, 247 definisi aplikasi dan protokol disokong, yang berikut menonjol: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, Gnutella , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Video Amazon, Dokumen Google, Fail WhatsApp, Targus Dataspeed, Zabbix, WebSocket, antara lain.
Ciri baru utama nDPI 4.0
Mengenai hal baru yang disajikan dalam versi 4.0 baru ini, ini telah ditingkatkan dari segi kecepatan dengan peningkatan 2.5 sehubungan dengan seri 3.x.
Dari bahagian perubahan, kita dapat mengetahui bahawa perubahan tersebut telah dilaksanakan sokongan untuk kaedah pengenalan klien JA3 + TLS yang lebih baik, yang memungkinkan, berdasarkan ciri perundingan sambungan dan parameter yang ditentukan, untuk menentukan perisian apa yang digunakan untuk membuat sambungan (misalnya, ia memungkinkan untuk menentukan penggunaan Tor dan aplikasi khas lain).
Juga bilangan pengesanan ancaman rangkaian dan masalah yang berkaitan dengan risiko kompromi telah diperluas (risiko aliran) menjadi 33, ditambah pengenalan ancaman berkaitan desktop dan perkongsian fail baru yang ditambahkan, lalu lintas HTTP yang mencurigakan, JA3 jahat dan SHA1, akses ke domain yang bermasalah dan sistem autonomi, penggunaan sijil di TLS dengan pelanjutan yang mencurigakan atau tarikh luput terlalu lama.
Kita juga dapat menjumpainya lebih banyak sokongan untuk protokol dan perkhidmatan telah ditambah, yang kini dapat kita temukan: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Sementara untuk perkhidmatan pemeriksaan dan saringan yang diperbaiki dalam versi baru ini disebutkan: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Protokol RTSP, RTSP melalui HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Dari perubahan lain yang menonjol versi baru:
- Peningkatan sokongan untuk kaedah analisis lalu lintas yang disulitkan (ETA).
- Tidak seperti kaedah JA3 yang disokong sebelumnya, JA3 + mempunyai lebih sedikit positif palsu.
- Pengoptimuman prestasi yang ketara telah dilakukan, dibandingkan dengan cabang 3.0, kelajuan pemprosesan lalu lintas telah meningkat sebanyak 2.5 kali.
- Sokongan GeoIP ditambahkan untuk menentukan lokasi dengan alamat IP.
- API ditambah untuk mengira RSI (Relative Strength Index).
- Kawalan pecahan telah dilaksanakan.
- API ditambah untuk mengira keseragaman aliran (jitter).
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.