Các nhà phát triển dự án ntop (người phát triển các công cụ để nắm bắt và phân tích lưu lượng truy cập) được biết đến phát hành gần đây phiên bản mới của nDPI, là tập siêu bảo trì liên tục của thư viện OpenDP phổ biến.
nDPI Nó có đặc điểm là được sử dụng bởi cả ntop và nProbe để thêm tính năng phát hiện các giao thức ở lớp ứng dụng, bất kể cổng đang được sử dụng. Điều này có nghĩa là các giao thức đã biết có thể được phát hiện trên các cổng không chuẩn.
Dự án cho phép bạn xác định các giao thức cấp ứng dụng được sử dụng trong lưu lượng bằng cách phân tích bản chất của hoạt động mạng mà không ràng buộc với các cổng mạng (bạn có thể xác định các giao thức đã biết có trình điều khiển chấp nhận kết nối trên các cổng mạng không chuẩn, ví dụ: nếu http được gửi không phải từ cổng 80, hoặc ngược lại, khi chúng cố gắng ngụy trang hoạt động mạng chẳng hạn như http chạy trên cổng 80).
Sự khác biệt với OpenDPI để hỗ trợ các giao thức bổ sung, tính di động cho nền tảng Windows, tối ưu hóa hiệu suất, thích ứng để sử dụng trong các ứng dụng để giám sát lưu lượng truy cập trong thời gian thực (một số tính năng cụ thể làm chậm động cơ đã bị loại bỏ), xây dựng khả năng dưới dạng mô-đun nhân Linux và hỗ trợ xác định phụ -công cụ.
Tổng cộng, 247 định nghĩa ứng dụng và giao thức được hỗ trợ, trong đó nổi bật là các định nghĩa sau: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, Skype , Tín hiệu, Xbox, ShoutCast, IRC, Ayiya, Không mã hóa_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket, v.v.
Các tính năng mới chính của nDPI 4.0
Đối với những tính năng mới được trình bày trong phiên bản 4.0 mới này, nó đã được tăng cường về tốc độ với sự cải tiến 2.5 so với dòng 3.x.
Về phần các thay đổi, chúng tôi có thể thấy rằng nó đã được triển khai hỗ trợ cho phương pháp nhận dạng máy khách JA3 + TLS được cải tiến, cho phép, dựa trên các đặc tính đàm phán kết nối và các thông số cụ thể, để xác định phần mềm nào được sử dụng để thiết lập kết nối (ví dụ, nó cho phép xác định việc sử dụng Tor và các ứng dụng điển hình khác).
Ngoài ra số lượng phát hiện các mối đe dọa mạng và các vấn đề liên quan đến nguy cơ xâm nhập đã được mở rộng (rủi ro luồng) đến 33, cộng với các mã nhận dạng mối đe dọa liên quan đến chia sẻ tệp và máy tính để bàn mới được thêm vào, lưu lượng truy cập HTTP đáng ngờ, JA3 và SHA1 độc hại, quyền truy cập vào các miền có vấn đề và hệ thống tự trị, sử dụng chứng chỉ trong TLS có phần mở rộng đáng ngờ hoặc ngày hết hạn quá lâu.
Chúng tôi cũng có thể thấy rằng nhiều hỗ trợ hơn cho các giao thức và dịch vụ đã được thêm vào, trong số đó chúng ta hiện có thể tìm thấy: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Av available Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Management Group (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Trong khi cho dịch vụ sàng lọc và sàng lọc đã được cải thiện trong phiên bản mới này được đề cập đến: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC , Giao thức RTSP, RTSP qua HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Trong số các thay đổi khác nổi bật của phiên bản mới:
- Cải thiện hỗ trợ cho các phương pháp phân tích lưu lượng được mã hóa (ETA).
- Không giống như phương pháp JA3 được hỗ trợ trước đây, JA3 + có ít dương tính giả hơn.
- Việc tối ưu hóa hiệu suất đáng kể đã được thực hiện, so với nhánh 3.0, tốc độ xử lý lưu lượng đã được tăng lên 2.5 lần.
- Hỗ trợ GeoIP đã được thêm vào để xác định vị trí theo địa chỉ IP.
- Đã thêm API để tính toán RSI (Chỉ số sức mạnh tương đối).
- Kiểm soát phân mảnh đã được thực hiện.
- Đã thêm API để tính toán tính đồng nhất của luồng (jitter).
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.