Выпуск системы глубокого инспектирования пакетов nDPI 4.824.10.2023 12:00

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.8, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

  • На порядки снижено потребление памяти, благодаря переработке реализации списков.

  • Расширена поддержка IPv6.

  • Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.

  • Добавлена поддержка протоколов и сервисов:
    • HAProxy
    • Apache Thrift
    • RMCP (Remote Management Control Protocol)
    • SLP (Service Location Protocol)
    • Bitcoin
    • HTTP/2 без шифрования
    • SRTP (Secure Real-time Transport)
    • BACnet
    • OICQ (китайский мессенджер)
  • Добавлено определение OperaVPN и ProtonVPN. Улучшено определение Wireguard.
  • Реализована эвристика для выявления полностью шифрованных потоков трафика.
  • Добавлено определение серивисов Yandex и VK.
  • Добавлено определение рилсов и сторис Facebook.

  • Добавлено определение игровой платформы Roblox, облачного сервиса NVIDIA GeForceNow, игр компании Epic Games, игры «Heroes of the Storm».

  • Улучшено определение трафика от поисковых ботов.
  • Улучшен разбор и определение протоколов и сервисов:
    • Gnutella
    • H323
    • HTTP
    • Hangout
    • MS Teams
    • Alibaba
    • MGCP
    • Steam
    • MySQL
    • Zabbix
  • Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_MALWARE_HOST_CONTACTED и NDPI_TLS_ALPN_SNI_MISMATCH.
  • Организовано fuzzing-тестирование для выявление проблем с надёжностью.
  • Решены проблемы со сборкой во FreeBSD.



Источник: http://www.opennet.ru/opennews/art.shtml? num=59983

© OpenNet