The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск системы глубокого инспектирования пакетов nDPI 4.4

08.07.2022 10:58

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.4, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Всего поддерживаются определения около 300 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

  • Добавлены метаданные с информацией о причине вызова обработчика для той или иной угрозы.
  • Добавлена функция ndpi_check_flow_risk_exceptions() для подключения обработчиков сетевых угроз.
  • Выполнено разделение на сетевые протоколы (например, TLS) и прикладные протоколы (например, сервисы Google).
  • Добавлены два новых уровня конфиденциальности: NDPI_CONFIDENCE_DPI_PARTIAL и NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
  • Добавлен шаблон для определения использования сервиса Cloudflare WARP
  • Внутренняя реализация hashmap заменена на uthash.
  • Обновлены привязки для языка Python.
  • По умолчанию задействована встроенная реализация gcrypt (для использования системной реализации предложена опция --with-libgcrypt).
  • Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT и NDPI_ANONYMOUS_SUBSCRIBER.
  • Добавлена поддержка протоколов и сервисов:
    • UltraSurf
    • i3D
    • RiotGames
    • TSAN
    • TunnelBear VPN
    • collectd
    • PIM (Protocol Indipendent Multicast)
    • Pragmatic General Multicast (PGM)
    • RSH
    • Продукты GoTo, такие как GoToMeeting
    • Dazn
    • MPEG-DASH
    • Agora Software Defined Real-time Network (SD-RTN)
    • Toca Boca
    • VXLAN
    • MDNS/LLMNR
  • Улучшен разбор и определение протоколов:
    • SMTP/SMTPS (добавлена поддержка STARTTLS)
    • OCSP
    • TargusDataspeed
    • Usenet
    • DTLS
    • TFTP
    • SOAP via HTTP
    • GenshinImpact
    • IPSec/ISAKMP
    • DNS
    • syslog
    • DHCP
    • NATS
    • Viber
    • Xiaomi
    • Raknet
    • gnutella
    • Kerberos
    • QUIC (добавлена поддержка спецификации v2drft 01)
    • SSDP
    • SNMP
    • DGA
    • AES-NI


  1. Главная ссылка к новости (https://www.ntop.org/ndpi/intr...)
  2. OpenNews: Выпуск системы глубокого инспектирования пакетов nDPI 4.0
  3. OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
  4. OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
  5. OpenNews: Выпуск программы для обхода систем глубокого анализа трафика GoodbyeDPI 0.2.1
  6. OpenNews: Система анализа интернет трафика OpenDPI выпущена под лицензией LGPL
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57472-ndpi
Ключевые слова: ndpi, dpi, monitoring
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (41) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, QwertyReg (ok), 11:05, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –25 +/
    > Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения.

    Классика. Вангую, что через годик, когда курсовая будет сдана, проект nDPI будет также заброшен и основан новый проект DPI-ng.

     
     
  • 2.2, Аноним (2), 11:24, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    с чего бы это? Luca почти десять лет его пилит. ntop успешно деньги зарабатывает на этом
     
     
  • 3.47, Аноним (47), 02:24, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этого полупокера можно по нику минусовать
    Оно ни разу ничего умного не сказало
     
  • 2.21, Без аргументов (?), 17:32, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > когда курсовая будет сдана, будет также заброшен

    Вы путаете с проектами на JS

     
     
  • 3.22, Аноним (22), 18:26, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Покажите свой незаброшенный проект, хоть даже на js
     
     
  • 4.27, кубрик (?), 19:07, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А на js бывают проекты? я думал это поделки.
     
  • 4.28, Без аргументов (?), 19:25, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Мои проекты на гитхабах не лежат в открытом доступе.
     
     
  • 5.41, Аноним (41), 00:27, 09/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Наверное еще и на Java
     

  • 1.4, Аноним (4), 12:33, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    А, так вот из-за кого Роскомнадзор умеет блокировать сайты!
     
     
  • 2.37, РосК0Мнадзор (?), 21:40, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо! Не хватает автоматической блокировки VPN и I2P!
     

  • 1.5, Герострат (?), 12:41, 08/07/2022 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –2 +/
     
     
  • 2.8, kusb (?), 14:23, 08/07/2022 Скрыто модератором
  • –2 +/
     
  • 2.9, анон (?), 14:44, 08/07/2022 Скрыто модератором
  • +/
     
     
  • 3.13, Аноним (13), 16:33, 08/07/2022 Скрыто модератором
  • –3 +/
     
     
  • 4.20, a_kusb (ok), 17:24, 08/07/2022 Скрыто модератором
  • +/
     

     ....ответы скрыты модератором (4)

  • 1.10, Аноним (10), 14:57, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Нужно тоже самое, но наоборот.
     
     
  • 2.26, Аноним (26), 18:51, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    GoodbyeDPI?
     
     
  • 3.48, Аноним (48), 13:39, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Эта мишпуха без прямой диверсии персонала операторов не работает.
     

  • 1.11, Аноним (11), 15:42, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Сишечка и разбор сетевого трафика. Ну что же, поп-корн почти готов, можно наблюдать.
     
     
  • 2.15, кубрик (?), 16:44, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Действительно, на растишечке ведь столько аналогов. А по факту даже пинг сделать не смогли и написали парсер выхлопа для консольного пинга. И тот с горем по палам работал.

    Всегда интересно наблюдать как люди оправдывают свою лень, безграмотность и не способность осилить элементарный Си.

     
     
  • 3.16, Аноним (16), 17:06, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот не надо так категорично, когда к делу подходят вдумчиво и с умом, то на расте получается вполне себе отличный продукт: https://www.securitylab.ru/news/532688.php
     
     
  • 4.18, кубрик (?), 17:16, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > WIndows-версия вредоноса получила “апгрейд”

    Действительно, ну очень отличное применение.

    Хотя цевилизованному миру на этот ваш Windows давно плевать с большой колокольни, но при этом плюсов языку это не добавило от слова совсем.

     
     
  • 5.31, Аноним (-), 20:04, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > цевилизованному миру

    какому-какому миру?

    смешно слышать от жалкого одного процента что миру превать на винду))

     
     
  • 6.33, кубрик (?), 20:20, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > какому-какому миру?

    цевилизованному. написано же

    > смешно слышать от жалкого одного процента что миру превать на винду))

    Ну смейся, мне то что до жалкого неудачника с вендой. А я и дальше буду делать нормальный продукт на нормальном си и плюсах с много милионными пользователями и плевать и на тебя и на твою венду.

    Не вижу это позорище от слова совсем и прекрасно себя чувствую.

     
     
  • 7.38, Аноним (38), 21:45, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > написано же

    мда, лучше бы не писал, а читал что-то... что-то вроде словаря Ожегова хотя бы...

    > дальше буду делать нормальный продукт на нормальном си

    Так это был ты! Вот кто в nftables наковнокодил на ~нормальном~ языке!

     
     
  • 8.40, кубрик (?), 23:19, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    где ты у меня увидел какой nftables не говори ерунды... текст свёрнут, показать
     
  • 5.49, Аноним (48), 13:41, 11/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Как это не доказывает? А кроссплатформенность и все такое? Опять же, если они переписали зонд, то поди и сервера тоже перепилили под растишишку, и таки вряд ли они у них под виндой.
     
  • 3.43, leap42 (ok), 05:43, 09/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А по факту даже пинг сделать не смогли и написали парсер выхлопа для консольного пинга.

    эм... а можно поконкретнее? я вот сходу 2 реализации нагуглил. в них черт ногу сломит (этож rust) но вижу работу с сокетами и не вижу никакого консольного парсинга.

     

  • 1.14, кубрик (?), 16:43, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > написан на языке Си

    Потому что нормальные вещи пишутся только на нормальных языках

     
     
  • 2.23, Lynph (ok), 18:31, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ассеблер сила
     
     
  • 3.24, Аноним (24), 18:33, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Непереносимо
     
     
  • 4.29, Аноним (29), 19:46, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Зареверсь ассемблерный код гидрой или идой в сишный и перенеси. Делов то на 5 копеек. Если повезет)
     
  • 3.25, кубрик (?), 18:50, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну тут не поспоришь.
     
  • 3.30, Аноним (29), 19:47, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сразу коды в перфокарте пробивай.  
     

  • 1.32, Аноним (32), 20:08, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в i2p не умеет, пилить еще им и пилить
     
     
  • 2.39, Аноним (39), 23:02, 08/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    i2p сила
     

  • 1.34, Аноним (34), 21:30, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше чем wireshark?
     
  • 1.35, Аноним (-), 21:35, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо!
     
  • 1.36, Аноним (-), 21:39, 08/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спасибо! Не хватает автоматической блокировки VPN и I2P
     
     
  • 2.42, Аноним (42), 05:01, 09/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Задание понятно, товарищ майор!
     

  • 1.45, InuYasha (??), 11:56, 09/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Товарищ майор задумчиво улыбнулся, аккуратно гася сигарету о стеклянную пепельницу.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру