Выпуск системы глубокого инспектирования пакетов nDPI 4.10

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 4.10, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 55 типов сетевых угроз (flow risk) и более 420 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

- Добавлена начальная поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC реализуем лишь для части протоколов и позволяет существенно снизить нагрузку на CPU при инспектировании трафика.
- Добавлена поддержка и разбор более 70 новых протоколов и сервисов, среди которых:

- Adobe Connect
- ANSI C12.22
- Apache Kafka
- Beckhoff ADS
- BFCP
- BFD
- Bluesky
- Call of Duty Mobile
- CAN over Ethernet
- Ceph
- ClickHouse
- DLE
- DTLS 1.3
- Elder Scrolls Online support (#2376)
- ElectronicArts
- ethereum protocol dissector
- Ethernet Global Data
- Ether-S-Bus
- Ether-S-I/O
- FB-Threads
- FLUTE
- Gearman
- Google Chat
- Google Protobuf
- HART-IP
- HiSLIP
- HL7
- HLS
- IEC62056 (DLMS/COSEM)
- IEEE 1588-2008 (PTPv2)
- IEEE C37.118
- ISO 9506-1 MMS
- JSON-RPC
- KCP
- KNXnet/IP
- Label Distribution Protocol
- Mastodon
- Monero
- Mumble
- Nano (XNO)
- Naraka Bladepoint
- NetEase
- NoMachine NX
- Omron FINS
- OPC UA
- OpenFlow
- OpenWire
- Path of Exile
- PFCP
- PIA (Private Internet Access) support (#2250)
- PROFINET/IO
- Radmin
- Raft
- Ripe Atlas probe protocol.
- Roughtime
- RTPS
- S7Comm
- Schneider Electric UMAS
- STOMP
- TencentGames
- Twitter bot
- UFTP
- Viber (voip)
- WebDAV
- Yojimbo (netcode)
- ZUG


- Улучшен разбор и определение протоколов и сервисов:

- Bittorrent
- Cloudflare WARP
- CORBA
- CryNetwork
- DNS
- Dropbox
- eDonkey
- H323
- Kafka
- MySQL
- PrimeVideo
- Protobuf
- QUIC
- Telegram
- TFTP
- Twitter/X (#2482)
- Wireguard
- Zoom


- Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk).
- Добавлен скрипт для загрузки и обновления списка суффиксов доменов.
- Обеспечена идентификация трафика Huawei.
- Проведена оптимизация производительности.
- Расширена поддержка IPv6.



Источник: https://www.opennet.ru/opennews/art.shtml?num=61663