The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск системы глубокого инспектирования пакетов nDPI 4.8

24.10.2023 11:51

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.8, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

  • На порядки снижено потребление памяти, благодаря переработке реализации списков.
  • Расширена поддержка IPv6.
  • Добавлены новые идентификаторы протоколов, связанные с контентом для взрослых, рекламой, web-аналитикой и отслеживанием перемещений.
  • Добавлена поддержка протоколов и сервисов:
    • HAProxy
    • Apache Thrift
    • RMCP (Remote Management Control Protocol)
    • SLP (Service Location Protocol)
    • Bitcoin
    • HTTP/2 без шифрования
    • SRTP (Secure Real-time Transport)
    • BACnet
    • OICQ (китайский мессенджер)
  • Добавлено определение OperaVPN и ProtonVPN. Улучшено определение Wireguard.
  • Реализована эвристика для выявления полностью шифрованных потоков трафика.
  • Добавлено определение серивисов Yandex и VK.
  • Добавлено определение рилсов и сторис Facebook.
  • Добавлено определение игровой платформы Roblox, облачного сервиса NVIDIA GeForce NOW, игр компании Epic Games, игры "Heroes of the Storm".
  • Улучшено определение трафика от поисковых ботов.
  • Улучшен разбор и определение протоколов и сервисов:
    • Gnutella
    • H323
    • HTTP
    • Hangout
    • MS Teams
    • Alibaba
    • MGCP
    • Steam
    • MySQL
    • Zabbix
  • Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_MALWARE_HOST_CONTACTED и NDPI_TLS_ALPN_SNI_MISMATCH.
  • Организовано fuzzing-тестирование для выявление проблем с надёжностью.
  • Решены проблемы со сборкой во FreeBSD.


  1. Главная ссылка к новости (https://www.ntop.org/ndpi/ndpi...)
  2. OpenNews: Выпуск системы глубокого инспектирования пакетов nDPI 4.6
  3. OpenNews: Проект Geneva развивает движок для автоматизации обхода цензурирования трафика
  4. OpenNews: Выпуск программы для обхода систем глубокого анализа трафика GoodbyeDPI 0.2.1
  5. OpenNews: Китай начал блокировать HTTPS-соединения, устанавливаемые с TLS 1.3 и ESNI
  6. OpenNews: Система анализа интернет трафика OpenDPI выпущена под лицензией LGPL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59983-ndpi
Ключевые слова: ndpi, dpi, traffic
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (38) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Fracta1L (ok), 12:19, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Двоякое отношение к этой штуке. С одной стороны, она позволяет эффективно реализовать цензуру интернетов, что прекрасно, с другой - помогает защищаться от хакеров и ботов, а это плохо.
     
     
  • 2.4, Аноним (4), 12:23, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Толсто.
     
  • 2.7, fi (ok), 12:34, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Имеется декодировщик серверных и клиентских SSL-сертификатов

    Это как???????  квантовый комп подключили???

     
     
  • 3.9, Аноним (9), 12:48, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Декодировщик там обычный код, делающий брутфорс. Просто выполнять этот код рекомендуется на квантовом компе.
     
     
  • 4.10, Аноним (10), 12:50, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ты хотел сказать на самом простеньком кластере видеокарт.
     
  • 3.21, Аноним (21), 13:15, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А в чем проблема?
    Пишешь в микрософт - просишь выпустить тебе поддельный сертификат для домена и слушаешь на здоровье.
     
  • 3.26, DeerFriend (?), 14:56, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Это работает в корпоративных сетях, где админ ставит всем дополнительный корпоративный сертификат.
    И в Казахстане.
     
  • 3.29, Аноним (29), 16:31, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Декодировщик сертификата, внезапно, декодирует сертификат, тоесть разбирает его на поля, это ЦА, тут такие флаги, валиден с и по итд.. в сертификате нет ключа, соответственно оно его и не получает.

    И вот анализируя поля они получают набор признаков, что вот такие сертификаты генерятся такими программами, и значит скорее всего используются в таких ВПНах или еще чем то. В общем именно так в новости и написано. и никаких квантовых компьютеров для этого не надо.

     
  • 2.24, Full Master (?), 14:37, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А еще помогает фильтровать шпионский трафик всяких гуглов, эпплов и китайских не-братушек.
     

  • 1.5, Аноним (5), 12:23, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Тоталитарные помойки говорят спасибо, за проделанную работу!
    Программисты сейчас дорогие, а хорошие еще дороже.

    Перефразирую человека-гриба
    "К̶а̶п̶и̶т̶а̶л̶и̶с̶т̶ы̶ ̶с̶а̶м̶и̶ ̶п̶р̶о̶д̶а̶д̶у̶т̶ ̶н̶а̶м̶ ̶в̶е̶р̶е̶в̶к̶у̶,̶ ̶н̶а̶ ̶к̶о̶т̶о̶р̶о̶й̶ ̶м̶ы̶ ̶и̶х̶ ̶п̶о̶в̶е̶с̶и̶м̶.̶"
    "Опенсорс сам сделает для нас бутылку, на которую мы их посадим."

     
     
  • 2.8, Аноним (10), 12:38, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Раз нет программистов то они не найдут в сабже аккуратненький выход за границы буфера для товарища капрала.
     
     
  • 3.19, Аноним (5), 13:04, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Шарашки никто не отменял.
    Создать что-то новое там скорее всего не смогут, а подпиливать уже готовое думаю справятся.
     
  • 2.23, Full Master (?), 14:35, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тоталитарные помойки платят немцам и китайцам.
     
  • 2.31, Анонус (?), 16:51, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Тоталитарные помойки говорят спасибо и отсыпают шекели демократическим и свободным программистам Израиля из компаний Paragon, NSO Group, Sherlock.
     
  • 2.42, Аноним (-), 18:26, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Интернет в Беларуси блокируют с помощью оборудования штатовской компании Sandvine.
     

  • 1.6, Атон (?), 12:32, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Отличия от OpenDPI сводятся к
    > портированию для платформы Windows

    нужно!

     
  • 1.11, mumu (ok), 12:50, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А есть пофамильные списки людей, которые над этим работают? Очень хочется знать имена героев, чтобы похвалить их при первом же удачном случае.
     
     
  • 2.12, Fracta1L (ok), 12:52, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И что ты сделаешь с этим знанием? Громогласно забанишь этих людей в своём твитторе?
     
     
  • 3.13, mumu (ok), 12:56, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Именную грамоту напечатаю. Принтер у мамы на работе возьму. А почему вы спрашиваете? Хотите присоединиться?
     
     
  • 4.39, _ (??), 03:04, 25/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Хотите присоединиться?

    Хотим! Выкладывай скан паспорта.
    >Именную грамоту напечатаю. Принтер у мамы на работе возьму.

    Ну и мы в том же ключе, чеееШШШШная шлоовааа! :)

     
  • 3.14, Аноним (5), 12:57, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А как же гнегодование и громкая газификация лужи на опеннете?!

    Это точно нельзя сбрасывать со счетов)

     
  • 3.16, Аноним (16), 12:59, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле он сообщил всем, что не умеет ходить по ссылкам на https://github.com/orgs/ntop/people
     
  • 2.27, AKTEON (?), 15:57, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Причем, бесплатно работают !
     
     
  • 3.28, Аноним (28), 16:26, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Это миф — бесплатно никто не работает.
     
     
  • 4.38, AKTEON (?), 23:02, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Кроме джунов на испытательном сроке, которых все равно не возьмут,хе-хе
     
     
  • 5.41, Аноним (-), 15:14, 25/10/2023 Скрыто ботом-модератором
  • +1 +/
     

  • 1.15, Аноним (15), 12:58, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, сколько контракторы КНР и РКН донатят на этот проект.
     
     
  • 2.20, Аноним (20), 13:07, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    по документам или в реальности?
     
     
  • 3.30, Аноним (30), 16:44, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ой, уже не интересно. Меньше знаешь — дольше живёшь.
     
  • 2.33, Аноним (33), 17:24, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    РКН разрабам, может, ничего и не платит. Зато, из бюджета требует за "проделанную работу".
     

  • 1.17, Анонимнетнетнет (?), 13:02, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://github.com/ntop/nDPI/graphs/contributors
     
     
  • 2.43, Аноним (43), 01:21, 26/10/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Довольно много русских имён. И почему я не удивлён?
     

  • 1.18, Аноним (18), 13:02, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Штука работает в том числе через PF_RING ZC - насквозь проприетарная технология с отдельным EULA и оплатой пользованием технологии в купленном оборудовании по времени.
     
  • 1.32, kafka (?), 17:14, 24/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> На порядки снижено потребление памяти, благодаря переработке реализации списков.

    Что же там раньше то было? Васян девелопмент?

     
     
  • 2.35, Аноним (-), 19:42, 24/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    ага, процедурка. вот классы, функции подвезли хД

    можно подумать, такое редкое явление, когда при разработке какие-то блоки костылями подменяют, чтобы работоспособное что-нибудь выкатить в сроки

     

  • 1.45, aNonim (?), 21:22, 27/10/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Товарищь майор приглашает всех экспертов опеннета присоединиться к разработке.
     
     
  • 2.46, Неуклюжий танцор (?), 15:33, 28/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда он уже угомонится?
     
     
  • 3.48, Аноним (48), 17:13, 31/10/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А сам то как думаешь?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру