Релиз открытой системы для глубокого инспектирования сетевых пакетов nDPI 5.0

Команда проекта ntop (занимается развитием инструментов для захвата и анализа трафика) опубликовала выпуск инструментария для глубокого инспектирования пакетов nDPI 5.0. Решение продолжает развитие открытой библиотеки OpenDPI.

Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Исходный код nDPI написан на языке C и опубликован на GitHub под лицензией LGPLv3.

Система nDPI позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам. Решение умеет определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую‑то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту.

Отличия nDPI от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени. В проекте убраны некоторые специфичные возможности, замедлявшие движок, а также есть возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

В nDPI поддерживается определение 56 типов сетевых угроз (flow risk) и более 450 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube).

В nDPI доступен декодировщик серверных и клиентских SSL‑сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap‑дампов или текущего