nDPI, бесплатный для глубокой проверки пакетов

разработчики проектов ntop (которые разрабатывают инструменты для захвата и анализа трафика) сделал известным недавно выпущенный новая версия nDPI, который является расширенным набором постоянно обновляемой популярной библиотеки OpenDP.

нДПИ Он характеризуется тем, что используется как ntop, так и nProbe для добавления обнаружения протоколов. на прикладном уровне, независимо от используемого порта. Это означает, что известные протоколы могут быть обнаружены на нестандартных портах.

В рамках проекта позволяет определять протоколы уровня приложения, используемые в трафике анализируя характер сетевой активности без привязки к сетевым портам (можно определить известные протоколы, драйверы которых принимают подключения на нестандартных сетевых портах, например, если http отправляется не с порта 80, или, наоборот, когда они пытаются замаскировать другие сетевая активность, такая как http, работающий на порту 80).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов., переносимость для платформы Windows, оптимизация производительности, адаптация для использования в приложениях для мониторинга трафика в реальном времени (были удалены некоторые специфические функции, замедлявшие работу движка), возможности построения в виде модуля ядра Linux и поддержка определения под -протоколы.

В общей сложности, Поддерживается 247 определений приложений и протоколов, из которых выделяются следующие:: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, eDonkey , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket и другие.

Основные новые функции nDPI 4.0

Что касается новинок, представленных в этой новой версии 4.0, она была увеличена с точки зрения скорости на 2.5 по сравнению с серией 3.x.

Что касается изменений, мы можем обнаружить, что это было реализовано поддержка улучшенного метода идентификации клиента JA3 + TLS, который позволяет на основе характеристик согласования соединения и заданных параметров определять, какое программное обеспечение используется для установления соединения (например, позволяет определять использование Tor и других типичных приложений).

Также увеличено количество обнаружений сетевых угроз и проблем, связанных с риском компрометации (риск потока) до 33, плюс добавлены новые идентификаторы угроз, связанных с настольными компьютерами и совместным использованием файлов, подозрительный HTTP-трафик, вредоносный JA3 и SHA1, доступ к проблемным доменам и автономным системам, использование сертификатов в TLS с подозрительными расширениями или слишком долгими сроками действия.

Мы также можем найти, что добавлена ​​дополнительная поддержка протоколов и сервисов, из которых мы теперь можем найти: AmongUs, AVAST SecureDNS, CPHA (протокол высокой доступности CheckPoint), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.

Хотя для услуги скрининга и скрининга, которые были улучшены в этой новой версии упоминаются: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Протоколы RTSP, RTSP через HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, защита от проводов.

Из других изменений, которые выделяются новой версии:

  • Улучшена поддержка методов анализа зашифрованного трафика (ETA).
  • В отличие от ранее поддерживаемого метода JA3, JA3 + имеет меньше ложных срабатываний.
  • Произведена значительная оптимизация производительности, по сравнению с веткой 3.0 скорость обработки трафика увеличена в 2.5 раза.
  • Добавлена ​​поддержка GeoIP для определения местоположения по IP-адресу.
  • Добавлен API для расчета RSI (Индекс относительной силы).
  • Реализован контроль фрагментации.
  • Добавлен API для расчета равномерности потока (джиттера).

В конце концов если вам интересно узнать об этом больше, вы можете проверить подробности По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

bool (истина)