L ntop deweloperzy projektów (którzy opracowują narzędzia do przechwytywania i analizy ruchu) ujawnione niedawno wydany nowa wersja nDPI, który jest bieżącym nadzbiorem konserwacyjnym popularnej biblioteki OpenDP.
nDPI Charakteryzuje się tym, że jest używany zarówno przez ntop, jak i nProbe, aby dodać wykrywanie protokołów w warstwie aplikacji, niezależnie od używanego portu. Oznacza to, że znane protokoły można wykryć na niestandardowych portach.
Projekt pozwala określić protokoły na poziomie aplikacji używane w ruchu analizując charakter aktywności sieciowej bez wiązania się z portami sieciowymi (można określić znane protokoły, których sterowniki akceptują połączenia na niestandardowych portach sieciowych, np. jeśli http jest wysyłany nie z portu 80 lub odwrotnie, gdy próbują zakamuflować inne aktywność sieciowa, taka jak http działający na porcie 80).
Różnice z OpenDPI sprowadzają się do obsługi dodatkowych protokołów, przenośność na platformę Windows, optymalizacja wydajności, adaptacja do wykorzystania w aplikacjach do monitorowania ruchu w czasie rzeczywistym (usunięto niektóre specyficzne funkcje spowalniające silnik), możliwości budowania w postaci modułu jądra Linux oraz wsparcie dla definiowania pod - protokoły.
W sumie, Obsługiwanych jest 247 definicji aplikacji i protokołów, z których wyróżniają się następujące: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, Skype , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Dysk Google, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, Pliki WhatsApp, Targus Dataspeed, Zabbix, WebSocket i inne.
Główne nowe funkcje nDPI 4.0
Jeśli chodzi o nowości, które są prezentowane w nowej wersji 4.0, została ona zwiększona pod względem szybkości z poprawą o 2.5 w stosunku do serii 3.x.
Po stronie zmian możemy stwierdzić, że został wdrożony wsparcie dla ulepszonej metody identyfikacji klienta JA3 + TLS, który pozwala, na podstawie cech negocjacji połączenia i określonych parametrów, określić, jakie oprogramowanie jest używane do nawiązywania połączenia (na przykład, pozwala określić użycie Tora i innych typowych aplikacji).
Również zwiększono liczbę wykryć zagrożeń sieciowych i problemów związanych z ryzykiem włamań (ryzyko przepływu) do 33, plus nowe identyfikatory zagrożeń związanych z pulpitem i udostępnianiem plików, podejrzany ruch HTTP, złośliwe JA3 i SHA1, dostęp do problematycznych domen i systemów autonomicznych, użycie certyfikatów w TLS z podejrzanymi rozszerzeniami lub zbyt długimi datami wygaśnięcia.
Możemy to również znaleźć dodano większą obsługę protokołów i usług, z których obecnie możemy znaleźć: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
Podczas gdy dla usługi przesiewowe i przesiewowe, które zostały ulepszone w nowej wersji wymienione są: AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC , protokoły RTSP, RTSP przez HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Z innych zmian, które się wyróżniają nowej wersji:
- Ulepszona obsługa metod analizy ruchu szyfrowanego (ETA).
- W przeciwieństwie do poprzednio obsługiwanej metody JA3, JA3 + ma mniej fałszywych alarmów.
- Przeprowadzono znaczną optymalizację wydajności, w porównaniu do gałęzi 3.0 szybkość przetwarzania ruchu wzrosła 2.5-krotnie.
- Dodano obsługę GeoIP w celu określenia lokalizacji według adresu IP.
- Dodano API do obliczania RSI (Wskaźnika Względnej Siły).
- Zaimplementowano kontrolę fragmentacji.
- Dodano API do obliczania jednolitości przepływu (jitter).
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.