很多 ntop項目開發人員 (開發工具來捕獲和分析流量) 揭曉 最近發布 nDPI 的新版本,這是流行的 OpenDP 庫的持續維護超集。
DPI 它的特點是被ntop和nProbe都使用來增加協議的檢測 在應用層,不管使用的是什麼端口。 這意味著可以在非標準端口上檢測到已知協議。
該項目 允許您確定流量中使用的應用程序級協議 通過分析網絡活動的性質而不綁定到網絡端口(您可以確定其驅動程序接受非標準網絡端口連接的已知協議,例如,如果 http 不是從端口 80 發送的,或者相反,當它們試圖偽裝其他網絡活動,例如在端口 80 上運行的 http)。
與 OpenDPI 的差異歸結為對附加協議的支持、Windows 平台的可移植性、性能優化、適用於應用程序以實時監控流量(一些降低引擎速度的特定功能已被刪除)、以 Linux 內核模塊的形式構建功能並支持定義子- 協議。
總的來說, 支持 247 個應用程序和協議定義,其中以下是突出的: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, Skype , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git、Pastebin、LinkedIn、SoundCloud、Amazon Video、Google Docs、WhatsApp Files、Targus Dataspeed、Zabbix、WebSocket 等。
nDPI 4.0 的主要新特性
至於這個新版本4.0中的新奇之處,它在速度方面得到了提升,相對於2.5.x系列提高了3。
在更改的部分,我們可以發現它被實現了 支持改進的JA3+TLS客戶端識別方式,它允許根據連接協商特性和指定的參數,確定使用哪個軟件來建立連接(例如,它允許確定使用 Tor 和其他典型應用程序)。
還 網絡威脅檢測和與危害風險相關的問題的數量已經擴大 (流風險)到 33,加上新的桌面和文件共享相關威脅標識符、可疑的 HTTP 流量、惡意的 JA3 和 SHA1、訪問有問題的域和自治系統、在 TLS 中使用帶有可疑擴展名或過期日期過長的證書。
我們還可以發現 添加了對協議和服務的更多支持, 其中我們現在可以找到:其中,AVAST SecureDNS、CPHA(CheckPoint 高可用性協議)、DisneyPlus、DTLS、Genshin Impact、HP Virtual Machine Group Management (hpvirtgrp)、Mongodb、Pinterest、Reddit、Snapchat VoIP、Tumblr、Virtual Assitant( Alexa,Siri),Z39.50。
當為 篩查和篩查服務得到改善 在這個新版本中提到:AnyDesk、DNS、Hulu、DCE / RPC、dnscrypt、Facebook、Fortigate、FTP Control、HTTP、IEC104、IEC60870、IRC、Netbios、Netflix、Ookla speedtest、openspeedtest.com、Outlook / MicrosoftMail、QUIC 、RTSP 協議、RTSP over HTTP、SNMP、Skype、SSH、Steam、STUN、TeamViewer、TOR、TLS、UPnP、wireguard。
在其他突出的變化中 新版本:
- 改進了對加密流量分析 (ETA) 方法的支持。
- 與之前支持的 JA3 方法不同,JA3+ 的誤報更少。
- 進行了顯著的性能優化,相比3.0分支,流量處理速度提升了2.5倍。
- 添加了 GeoIP 支持以通過 IP 地址確定位置。
- 添加了用於計算 RSI(相對強弱指數)的 API。
- 已實施碎片控制。
- 添加了用於計算流量均勻性(抖動)的 API。
終於 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接中。