- Выпущена версия 5.0 инструментария для глубокого инспектирования сетевых пакетов nDPI.
- Обновление включает универсальный механизм идентификации трафика с улучшенной классификацией шифрованного трафика и расширенную поддержку новых протоколов.
- Реализованы оптимизации производительности, поддержка Windows и новые возможности для анализа аномалий и сетевых угроз.
Команда проекта ntop представила релиз nDPI версии 5.0 — инструментария с открытым исходным кодом для глубокого анализа сетевого трафика на уровне приложений. nDPI служит продолжением библиотеки OpenDPI и реализован на языке C под лицензией LGPLv3. Программное обеспечение позволяет определять использование широкого спектра сетевых протоколов без жесткой привязки к популярным портам, что актуально для выявления сложных видов сетевой активности, маскирующейся под стандартные протоколы.
Нововведения в версии 5.0 включают внедрение универсального механизма создания «отпечатков» трафика (fingerprinting), объединяющего TCP-слепки, хэши TLS-сертификатов и JA4 идентификаторы, что повышает точность детекции даже при работе с зашифрованным или обфусцированным трафиком. Также расширена поддержка анализа потоков TLS, QUIC и HTTP, включая случаи, когда происходит обход традиционного DNS-разрешения имён хостов. Существенно увеличена максимальная численность протоколов и категорий, доступных для распознавания, что позволяет nDPI идентифицировать более 65 тысяч типов трафика.
Кроме того, усовершенствована технология First Packet Classification (FPC), благодаря чему идентификация типа трафика по первому отправляемому пакету становится более эффективной и снижает нагрузку на процессор. В числе новых возможностей — расширенный набор поддержки новых протоколов, таких как Microsoft Delivery Optimization, Kick.com, Matter, а также детализированная классификация сервисов Amazon/AWS. Убрана поддержка устаревших псевдопротоколов в пользу категоризации трафика.
Версия 5.0 также содержит улучшения в области анализа SSL-сертификатов, оптимизации работы с памятью, повышения скорости инициализации, а также обновлённые списки известных ботнетов, майнинговых пулов и сканеров. Благодаря этим изменениям nDPI становится более универсальным и производительным инструментом как для системного администрирования и мониторинга сетей в реальном времени, так и для исследований в области информационной безопасности.
