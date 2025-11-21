The OpenNET Project / Index page

Выпуск системы глубокого инспектирования пакетов nDPI 5.0

21.11.2025 15:34

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 5.0, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 56 типов сетевых угроз (flow risk) и более 450 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

  • Реализован универсальный механизм для идентификации трафика, комбинирующий в одном маркере трафика (fingerprint) метаданные о слепках TCP, хэшах TLS-сертификата и JA4 (идентификаторы для определения сетевых протоколов и приложений). Новый механизм позволяет более точно определять и сопоставлять шифрованный или обфусцированный трафик.
  • Добавлена возможность определения потоков TLS, QUIC и HTTP, в которых фигурируют имена хостов (например, в SNI для TLS/QUIC и в заголовке Host для HTTP), для которых ранее не выполнялся резолвинг через DNS. Подобная активность может применяться для выявления аномалий, скрытых каналов передачи данных и методов обхода фильтрации.
  • До 2^16 поднято ограничение на число определяемых протоколов и категорий трафика, что позволяет выявлять практически неограниченное число протоколов при инспектировании трафика. Все доступные протоколы теперь включены по умолчанию.
  • В правила добавлены новые опции для классификации трафика по слепкам (fingerprint), JA4-идентификаторам приложений и протоколов, HTTP URL и категориям.
  • Улучшена поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC позволяет существенно снизить нагрузку на CPU при инспектировании трафика.
  • Удалена поддержка псевдопротоколов, таких как ADULT_CONTENT, LLM и ADS_ANALYTICS_TRACK, вместо которых теперь используется классификация на основе категорий.
  • Добавлена поддержка и возможность разбора новых протоколов, среди которых Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN и Akamai.
  • Добавлены новые подкатегории и расширена классификация сервисов Amazon/AWS.
  • Добавлено около 30 новых категорий и повышена детализация при анализе трафика.
  • Добавлен анализатор размера блоков данных для TLS-соединений.
  • Добавлена возможность создания стеков протоколов, охватывающих два и более протокола при классификации трафика.
  • Добавлены новые API для ранжирования трафика и кодирования/декодирования шестнадцатеричных последовательностей.
  • Обновлены списки ботов, сетевых сканеров и пулов майнинга.
  • Обновлён код для разбора протоколов HTTP, TLS и STUN.
  • Ускорена инициализация и повышена эффективность управления памятью.


  1. Главная ссылка к новости (https://www.ntop.org/ndpi-5-0-...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64299-ndpi
Ключевые слова: ndpi, dpi, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (17) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 16:04, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Код выглядит так будто писался в одном известном всем ведомстве. Табы вперемешку с пробелами, коммит месседжи оформлены как попало.
     
     
  • 2.16, Аноним (-), 17:08, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Код выглядит так будто писался в одном известном всем ведомстве.

    Код писался методом вайбкодинга. Инфа почти сотка.

     

  • 1.7, Аноним (7), 16:27, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >для захвата и анализа трафика

    Предлагают поставить "сертификат безопасности":
    - https://opennet.ru/56830-tls
    - https://habr.com/ru/articles/968218/

     
  • 1.8, warlock (??), 16:33, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    Я в целом не склонен осуждать то, как люди зарабатывают и вообще проводят время, но мне всё же интересно, что чувствуют те, кто разрабатывает инструмент, _единственное_ назначение которого -- совершать преступления против человечества.
     
     
  • 2.9, Аноним (7), 16:39, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Сравнивайте это с инструментами/приборами.
    Важно кто и как его будет использовать, как кухонный нож или молоток.
     
  • 2.10, Аноним (10), 16:58, 21/11/2025 Скрыто ботом-модератором     [к модератору]
    		• +4 +/
     
     
  • 3.13, Аноним (7), 17:03, 21/11/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
     
  • 4.15, Аноним (10), 17:05, 21/11/2025 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
     
  • 5.17, Аноним (7), 17:08, 21/11/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
     
  • 6.18, Аноним (10), 17:29, 21/11/2025 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.11, Аноним (-), 17:00, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > _единственное_ назначение которого -- совершать преступления против человечества.

    Чего это вдруг единственно?
    А если я его использую для на работе, чтобы сотрудник случайно не совершил преступление?
    И напр. не отправил внутренние документы разведке недружественной страны? Что тогда?
    Или ты защищаешь преступников?

     
     
  • 3.14, Аноним (10), 17:03, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > не отправил внутренние документы разведке недружественной страны?

    А кто ты, если допустил такую возможность? Провокатор из контрразведки? Халатность?

     
  • 2.12, Аноним (10), 17:00, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    дьявол ведь плохой чувак, который в аду жгет грешников, а грешники это хорошие люди, достойные райя. Л - логика.
     
  • 2.19, mrdzharoff (?), 17:38, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    да лан тебе. тут да на лоре основной контингент - это чуваки так или иначе связанные со всякими органами и оборонками и ничё: вечером придут с работы, включат вопыэн и давай ругать такой сякой ркн бггг. так и живём
     
  • 2.21, freehck (ok), 17:44, 21/11/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > что чувствуют те, кто разрабатывает инструмент, _единственное_ назначение которого -- совершать преступления против человечества

    Нормально себя чувствуют.

    Есть люди, которые боятся мира Оруэлла. Есть люди, которые боятся мира Хаксли. Вы из первых. Они -- из вторых.
    И каждый из вас уверен, что делает мир лучше, а оппонент на всех парах мчится в бездну. А истина как всегда где-то между.

    Иными словами вы порождаете друг друга. Не было бы их, не было бы и вас. И наоборот. Вот такой вот Уроборос.

     

  • 1.20, Аноним (20), 17:40, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Те самые люди, для которых в аду уже приготовлен котел. Я в этом не спец, но если бы я захотел обойти бы эту хрень, то у меня на этот счет есть определенный простой и действенный план. Делится не буду. Лучшее решение - это индивидуальное решение, о котором никто не знает.

    Зачем мы идем по китайско-серверо-корейскому пути - никто не знает. У нас менталитет не такой и это все равно не сработает. Добьются того, что у народа терпение в какой-то момент просто лопне. То ли хотят показать, что коммунизм все таки можно было построить. Толи просто из вредности пытаются отрезать западным компаниям заработок на наших гражданах. В сказки про ОПАСНАСТЬ и "поиск" экстремистских материалов я не верю. Кого вербуют, тот и так был не за нас. Отрицать это - просто треп в стиле совка, где типа у нас такого быть не может, а если есть, то это все шпиёны. Норм государство бы наоборот предоставляло гос. ВПН для обхода блокировок.

    П.С. Где можно качнуть офф дистр Win 10 22H2 со всеми редакциями в обход блокировок? Именно офф, а не сборку от васяна. Пересобирать какими-то сомнительными тузлами - не вариант. Хочу на память оставить, т.к. его поддержка закончилась и скоро его прикроют. Есть 21H2, но боюсь, что обновления в какой-то момент тоже работать перестанут.

     

