Выпуск системы глубокого инспектирования пакетов nDPI 4.6
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.6, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.
Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).
Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.
Поддерживается определение 50 типов сетевых угроз (flow risk) и 332 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365,
Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.
В новом выпуске:
- Предоставлена возможность определения собственных протоколов, используя фильтры nBPF (например: 'nbpf:"host 192.168.1.1 and port 80"@HomeRouter').
- Повышена производительность разбора трафика.
- Реализовано fuzzing-тестирование.
- Улучшено определение WebShell и PHP-кода в HTTP URL.
- Улучшено определение DGA (Domain Generational Algorithm).
- Улучшена проверка инструкций AES-NI.
- Улучшена сериализация данных в формате JSON.
- Улучшено определение отклонения соединений.
- Добавлена статистика для Patricia tree, Ahocarasick и кэша LRU.
- Добавлена настраиваемая логика устаревания записей в кэше LRU.
- В метаданные потока (flow metadata) добавлена поддержка потоков RTP.
- В утилите ndpiReader реализована поддержка протокола Linux Cooked Capture v2.
- Добавлена поддержка протоколов и сервисов:
- Discord
- Elasticsearch
- FastCGI
- Activision
- AliCloud server access
- AVAST
- CryNetwork
- EDNS
- Kismet
- Line App and Line Voip valls
- Meraki Cloud
- Munin
- NATPMP
- Syncthing
- TP-LINK Smart Home
- TUYA LAN
- SoftEther VPN
- Tailscale
- TiVoConnect
- Улучшен разбор и определение протоколов:
- Anydesk
- Bittorrent
- DNS
- DTLS
- Facebook Voip
- FortiClient
- Zoom
- Hangout/Duo Voip
- HTTP (HTTP-Proxy и HTTP-Connect)
- IRC
- Jabber/XMPP
- Kerberos
- LDAP
- MGCP
- MONGODB
- PostgreSQL
- POP3
- QUIC
- Snapchat Voip
- SIP
- SNMP
- SMB
- SMTP (X-ANONYMOUSTLS)
- STUN
- SKYPE
- Teamspeak3
- Threema Messenger
- TINC
- TLS
- WindowsUpdate
- Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_HTTP_OBSOLETE_SERVER (выявляет старые версии Apache и nginx),
NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.ntop.org/ndpi/welc...)
- OpenNews: Выпуск системы глубокого инспектирования пакетов nDPI 4.0
- OpenNews: Система анализа интернет трафика OpenDPI выпущена под лицензией LGPL
- OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
- OpenNews: Выпуск программы для обхода систем глубокого анализа трафика GoodbyeDPI 0.2.1
- OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
Похожие новости:
- Выпуск системы глубокого инспектирования пакетов nDPI 4.4
- Доступна система индексации сетевого трафика Arkime 3.1
- Выпуск системы глубокого инспектирования пакетов nDPI 4.0
- [Python, IT-инфраструктура, Big Data] You are standing at a red light at an empty intersection. How to make traffic lights smarter?
- [IT-инфраструктура, Виртуализация, Сетевые технологии, Сетевое оборудование] Настраиваем экспорт IPFIX на VMware vSphere Distributed Switch (VDS) и последующий мониторинг трафика в Solarwinds
- AOL опубликовал систему индексации сетевого трафика Moloch 2.3
- Доступен FlowPrint, инструментарий для определения приложения по зашифрованному трафику
- [Информационная безопасность, Системное администрирование, Сетевые технологии] Применение Flowmon Networks для контроля производительности распределенных приложений и баз данных
- Представлена утилита TrafficToll 1.0.0 для выборочного ограничения трафика приложений
- [Системное администрирование, IT-инфраструктура, *nix, Сетевые технологии] Настройка балансировки нагрузки на InfoWatch Traffic Monitor
Теги для поиска: #_ndpi, #_traffic
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:31
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.6, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3. Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту). Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов. Поддерживается определение 50 типов сетевых угроз (flow risk) и 332 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader. В новом выпуске:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 14:31
Часовой пояс: UTC + 5