De ntop projectontwikkelaars (die tools ontwikkelen om verkeer vast te leggen en te analyseren) bekend gemaakt onlangs uitgebracht de nieuwe versie van nDPI, een superset voor doorlopend onderhoud van de populaire OpenDP-bibliotheek.
nDPI Het wordt gekenmerkt door te worden gebruikt door zowel ntop als nProbe om de detectie van protocollen toe te voegen op de applicatielaag, ongeacht de poort die wordt gebruikt. Dit betekent dat bekende protocollen kunnen worden gedetecteerd op niet-standaard poorten.
El proyecto stelt u in staat de protocollen op toepassingsniveau te bepalen die in het verkeer worden gebruikt door de aard van netwerkactiviteit te analyseren zonder te binden aan netwerkpoorten (u kunt bekende protocollen bepalen waarvan de stuurprogramma's verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet vanaf poort 80 wordt verzonden, of, omgekeerd, wanneer ze andere proberen te camoufleren netwerkactiviteit zoals http op poort 80).
Verschillen met OpenDPI komen neer op ondersteuning voor aanvullende protocollen, overdraagbaarheid voor het Windows-platform, prestatie-optimalisatie, aanpassing voor gebruik in applicaties om verkeer in realtime te volgen (sommige specifieke functies die de engine vertraagden zijn verwijderd), bouwmogelijkheden in de vorm van een Linux-kernelmodule en ondersteuning voor het definiëren van sub -protocollen.
In totaal 247 applicatie- en protocoldefinities worden ondersteund, waarvan de volgende opvallen:: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, Skype eDonkey, , Signaal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket, onder anderen.
Belangrijkste nieuwe functies van nDPI 4.0
Wat betreft de nieuwigheden die in deze nieuwe versie 4.0 worden gepresenteerd, deze is qua snelheid opgevoerd met een verbetering van 2.5 ten opzichte van de 3.x-serie.
Aan de kant van de wijzigingen kunnen we zien dat het is geïmplementeerd ondersteuning voor verbeterde JA3 + TLS cliënt identificatie methode, waarmee op basis van de verbindingsonderhandelingskenmerken en gespecificeerde parameters kan worden bepaald welke software wordt gebruikt om een verbinding tot stand te brengen (het maakt het bijvoorbeeld mogelijk om het gebruik van Tor en andere typische toepassingen te bepalen).
Ook het aantal detecties van netwerkbedreigingen en problemen in verband met compromisrisico is uitgebreid (flowrisico) naar 33, plus nieuwe dreigingsidentificaties voor desktop en bestandsdeling toegevoegd, verdacht HTTP-verkeer, kwaadaardige JA3 en SHA1, toegang tot problematische domeinen en autonome systemen, gebruik van certificaten in TLS met verdachte extensies of te lange vervaldata.
Dat kunnen we ook vinden meer ondersteuning voor protocollen en services is toegevoegd, waarvan we nu kunnen vinden: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assitant ( Alexa, Siri), Z39.50.
Terwijl voor screening en screeningdiensten die zijn verbeterd in deze nieuwe versie worden vermeld: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , RTSP-protocollen, RTSP via HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Van de andere veranderingen die opvallen van de nieuwe versie:
- Verbeterde ondersteuning voor methoden voor versleutelde verkeersanalyse (ETA).
- In tegenstelling tot de eerder ondersteunde JA3-methode heeft JA3+ minder valse positieven.
- Er is een aanzienlijke prestatie-optimalisatie uitgevoerd, in vergelijking met de 3.0-tak is de verkeersverwerkingssnelheid 2.5 keer verhoogd.
- GeoIP-ondersteuning is toegevoegd om de locatie op IP-adres te bepalen.
- API toegevoegd om RSI (Relative Strength Index) te berekenen.
- Fragmentatiecontroles zijn geïmplementeerd.
- API toegevoegd om stroomuniformiteit (jitter) te berekenen.
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.