Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.6, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.
Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.
Поддерживается определение 50 типов сетевых угроз (flow risk) и 332 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
- Предоставлена возможность определения собственных протоколов, используя фильтры nBPF (например: 'nbpf:"host 192.168.1.1 and port 80"@HomeRouter').
- Повышена производительность разбора трафика.
- Реализовано fuzzing-тестирование.
- Улучшено определение WebShell и PHP-кода в HTTP URL.
- Улучшена сериализация данных в формате JSON.
- Улучшено определение отклонения соединений.
- Добавлена статистика для Patricia tree, Ahocarasick и кэша LRU.
- Добавлена настраиваемая логика устаревания записей в кэше LRU.
- В метаданные потока (flow metadata) добавлена поддержка потоков RTP.
- Добавлена поддержка протоколов и сервисов:Discord
Elasticsearch
FastCGI
Activision
AliCloud server access
AVAST
CryNetwork
EDNS
Kismet
Line App and Line Voip valls
Meraki Cloud
Munin
NATPMP
Syncthing
TP-LINK Smart Home
TUYA LAN
SoftEther VPN
Tailscale
TiVoConnect - Улучшен разбор и определение протоколов:Anydesk
Bittorrent
DNS
DTLS
Facebook Voip
FortiClient
Zoom
Hangout/Duo Voip
HTTP (HTTP-Proxy и HTTP-Connect)
IRC
Jabber/XMPP
Kerberos
LDAP
MGCP
MONGODB
PostgreSQL
POP3
QUIC
Snapchat Voip
SIP
SNMP
SMB
SMTP (X-ANONYMOUSTLS)
STUN
SKYPE
Teamspeak3
Threema Messenger
TINC
TLS
WindowsUpdate - Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_HTTP_OBSOLETE_SERVER (выявляет старые версии Apache и nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
