разработчики проектов ntop (которые разрабатывают инструменты для захвата и анализа трафика) сделал известным недавно выпущенный новая версия nDPI, который является расширенным набором постоянно обновляемой популярной библиотеки OpenDP.
нДПИ Он характеризуется тем, что используется как ntop, так и nProbe для добавления обнаружения протоколов. на прикладном уровне, независимо от используемого порта. Это означает, что известные протоколы могут быть обнаружены на нестандартных портах.
В рамках проекта позволяет определять протоколы уровня приложения, используемые в трафике анализируя характер сетевой активности без привязки к сетевым портам (можно определить известные протоколы, драйверы которых принимают подключения на нестандартных сетевых портах, например, если http отправляется не с порта 80, или, наоборот, когда они пытаются замаскировать другие сетевая активность, такая как http, работающий на порту 80).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов., переносимость для платформы Windows, оптимизация производительности, адаптация для использования в приложениях для мониторинга трафика в реальном времени (были удалены некоторые специфические функции, замедлявшие работу движка), возможности построения в виде модуля ядра Linux и поддержка определения под -протоколы.
В общей сложности, Поддерживается 247 определений приложений и протоколов, из которых выделяются следующие:: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, eDonkey , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket и другие.
Основные новые функции nDPI 4.0
Что касается новинок, представленных в этой новой версии 4.0, она была увеличена с точки зрения скорости на 2.5 по сравнению с серией 3.x.
Что касается изменений, мы можем обнаружить, что это было реализовано поддержка улучшенного метода идентификации клиента JA3 + TLS, который позволяет на основе характеристик согласования соединения и заданных параметров определять, какое программное обеспечение используется для установления соединения (например, позволяет определять использование Tor и других типичных приложений).
Также увеличено количество обнаружений сетевых угроз и проблем, связанных с риском компрометации (риск потока) до 33, плюс добавлены новые идентификаторы угроз, связанных с настольными компьютерами и совместным использованием файлов, подозрительный HTTP-трафик, вредоносный JA3 и SHA1, доступ к проблемным доменам и автономным системам, использование сертификатов в TLS с подозрительными расширениями или слишком долгими сроками действия.
Мы также можем найти, что добавлена дополнительная поддержка протоколов и сервисов, из которых мы теперь можем найти: AmongUs, AVAST SecureDNS, CPHA (протокол высокой доступности CheckPoint), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Хотя для услуги скрининга и скрининга, которые были улучшены в этой новой версии упоминаются: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Протоколы RTSP, RTSP через HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, защита от проводов.
Из других изменений, которые выделяются новой версии:
- Улучшена поддержка методов анализа зашифрованного трафика (ETA).
- В отличие от ранее поддерживаемого метода JA3, JA3 + имеет меньше ложных срабатываний.
- Произведена значительная оптимизация производительности, по сравнению с веткой 3.0 скорость обработки трафика увеличена в 2.5 раза.
- Добавлена поддержка GeoIP для определения местоположения по IP-адресу.
- Добавлен API для расчета RSI (Индекс относительной силы).
- Реализован контроль фрагментации.
- Добавлен API для расчета равномерности потока (джиттера).
В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.