den ntop prosjektutviklere (som utvikler verktøy for å fange og analysere trafikk) gjort kjent nylig utgitt den nye versjonen av nDPI, som er et kontinuerlig vedlikeholdsoppsett av det populære OpenDP -biblioteket.
nDPI Det kjennetegnes ved å bli brukt av både ntop og nProbe for å legge til protokolldeteksjon på applikasjonslaget, uavhengig av porten som brukes. Dette betyr at kjente protokoller kan oppdages på ikke-standardiserte porter.
Prosjektet lar deg bestemme protokollene på applikasjonsnivå som brukes i trafikken ved å analysere arten av nettverksaktivitet uten å binde seg til nettverksporter (du kan bestemme kjente protokoller hvis drivere godtar tilkoblinger til ikke-standardiserte nettverksporter, for eksempel hvis http ikke sendes fra port 80, eller omvendt når de prøver å kamuflere andre nettverksaktivitet, for eksempel http som kjører på port 80).
Forskjeller med OpenDPI reduseres til støtte for ytterligere protokoller, bærbarhet for Windows -plattformen, ytelsesoptimalisering, tilpasning for bruk i applikasjoner for å overvåke trafikk i sanntid (noen spesifikke funksjoner som bremset motoren er fjernet), bygge evner i form av en Linux -kjernemodul og støtte for å definere sub -protokoller.
I alt, 247 applikasjons- og protokolldefinisjoner støttes, hvorav følgende skiller seg ut: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, , Signal, Xbox, ShoutCast, IRC, Ayiya, Uncrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket, blant andre.
Nye viktigste funksjoner i nDPI 4.0
Når det gjelder nyhetene som presenteres i denne nye versjonen 4.0, har den blitt forbedret når det gjelder hastighet med en forbedring på 2.5 i forhold til 3.x -serien.
Fra endringene kan vi finne at den ble implementert støtte for forbedret JA3 + TLS klientidentifikasjonsmetode, som lar, basert på forbindelsesforhandlingsegenskapene og spesifiserte parametere, bestemme hvilken programvare som brukes til å etablere en tilkobling (for eksempel tillater det å bestemme bruken av Tor og andre typiske applikasjoner).
Også antall påvisninger av nettverkstrusler og problemer knyttet til kompromisserisiko er utvidet (strømningsrisiko) til 33, pluss nye skrivebords- og fildelingsrelaterte trusselidentifikatorer lagt til, mistenkelig HTTP -trafikk, ondsinnet JA3 og SHA1, tilgang til problematiske domener og autonome systemer, bruk av sertifikater i TLS med mistenkelige utvidelser eller utløpsdatoer for lang.
Vi kan også finne det mer støtte for protokoller og tjenester er lagt til, som vi nå kan finne: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Mens for screening- og screeningtjenester som ble forbedret i denne nye versjonen nevnes: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , RTSP -protokoller, RTSP over HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Av de andre endringene som skiller seg ut av den nye versjonen:
- Forbedret støtte for metoder for kryptert trafikkanalyse (ETA).
- I motsetning til den tidligere støttede JA3 -metoden, har JA3 + færre falske positiver.
- Betydelig ytelsesoptimalisering har blitt utført, sammenlignet med 3.0 -grenen, har trafikkbehandlingshastigheten blitt økt med 2.5 ganger.
- GeoIP -støtte ble lagt til for å bestemme plassering etter IP -adresse.
- Lagt til API for å beregne RSI (relativ styrkeindeks).
- Fragmenteringskontroller er implementert.
- Lagt til API for å beregne flytuniformitet (jitter).
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.