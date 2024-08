Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 4.10, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3. Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту). Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов. Поддерживается определение 55 типов сетевых угроз (flow risk) и более 420 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader. В новом выпуске: Добавлена начальная поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC реализуем лишь для части протоколов и позволяет существенно снизить нагрузку на CPU при инспектировании трафика.

Добавлена поддержка и разбор более 70 новых протоколов и сервисов, среди которых: Adobe Connect ANSI C12.22 Apache Kafka Beckhoff ADS BFCP BFD Bluesky Call of Duty Mobile CAN over Ethernet Ceph ClickHouse DLE DTLS 1.3 Elder Scrolls Online support (#2376) ElectronicArts ethereum protocol dissector Ethernet Global Data Ether-S-Bus Ether-S-I/O FB-Threads FLUTE Gearman Google Chat Google Protobuf HART-IP HiSLIP HL7 HLS IEC62056 (DLMS/COSEM) IEEE 1588-2008 (PTPv2) IEEE C37.118 ISO 9506-1 MMS JSON-RPC KCP KNXnet/IP Label Distribution Protocol Mastodon Monero Mumble Nano (XNO) Naraka Bladepoint NetEase NoMachine NX Omron FINS OPC UA OpenFlow OpenWire Path of Exile PFCP PIA (Private Internet Access) support (#2250) PROFINET/IO Radmin Raft Ripe Atlas probe protocol. Roughtime RTPS S7Comm Schneider Electric UMAS STOMP TencentGames Twitter bot UFTP Viber (voip) WebDAV Yojimbo (netcode) ZUG

Улучшен разбор и определение протоколов и сервисов: Bittorrent Cloudflare WARP CORBA CryNetwork DNS Dropbox eDonkey H323 Kafka MySQL PrimeVideo Protobuf QUIC Telegram TFTP Twitter/X (#2482) Wireguard Zoom

Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.

Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk).

Добавлен скрипт для загрузки и обновления списка суффиксов доменов.

Обеспечена идентификация трафика Huawei.

Проведена оптимизация производительности.

Расширена поддержка IPv6.