Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.8, продолжающего развитие библиотеки OpenDPI. Проект запущен после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке С и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (знает известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах).

Отличия от OpenDPI: поддержка дополнительных протоколов, портирование для платформы Windows, оптимизация производительности, адаптация для применения в приложениях для мониторинга трафика в режиме реального времени и поддержка определения субпротоколов.

nDPI 4.8 поддерживает определение 53 типа сетевых угроз (flow risk) и более 350 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL‑сертификатов, позволяющий определить протокол (включая Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap‑дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

Источник: OpenNET.