Опубликован релиз системы глубокого инспектирования пакетов nDPI 3.0 от проекта ntop. Это приложение предназначено для анализа трафика и сетевой активности в целом, без разделения по портам. Это позволяет отслеживать различные нестандартные ситуации и аномалии.
Проект не связан с OpenDPI, хотя попытка объединения и имела место. В отличие от него, nDPI поддерживает больше протоколов и субпротоколов, работает не только под Linux, но и под Windows. Также система быстрее работает в режиме реального времени.
pixabay.com
Отметим, что версия поддерживает в общей сложности 238 протоколов и приложений. Среди них есть, например, OpenVPN, Tor, QUIC, BitTorrent и IPsec, мессенджеры Telegram, Viber, WhatsApp, а также сервисы GMail, Office365, GoogleDocs и YouTube.
Третья версия поддерживает вывод данных о протоколах «на лету», не ожидая получения всех метаданных. Проводится более глубокий разбор TLS, а также идентификация при помощи JA3. Последнее позволяет вычислить, какой софт применяется для установки соединения.
Добавлен ряд протоколов, в том числе для Hulu, TikTok/Musical.ly, WhatsApp Video, WireGuard VPN, Google Duo и так далее. Для других протоколов улучшена поддержка анализа. Кроме того, теперь есть функции для сериализации и десериализации данных в форматах TLV и JSON.
Источник:
